setodaNote

忘れる用のメモ書き

2018-07-07 記事まとめ

Manipulating MIME - Five Easy Steps To Bypass Antivirus

https://noxxi.de/research/mime-5-easy-steps-to-bypass-av.html

添付ファイル部の簡単な加工で以下を実現できるよという記事。

手元の環境では Thunderbird 52.9.0 ではうまくいったが Outlook 2016 では添付ファイルが消えてしまっていた(ステップ3まではうまく見えた)。

Unique source IPs seen in Mirai-like botnet by country - YTD

Mirai ボットネットのユニークソースIPの数を世界地図にマッピング
元データは以下のとのこと。

New Rakhni variant could infect systems with either a ransomware or a miner

Rakhni というランサムウェアがコインマイナーと共に利用されるようになっているという記事。Rakhni というランサムウェア自体は少なくとも2014年には見つかっている。

“The decision to download the cryptor or the miner depends on the presence of the folder %AppData%\Bitcoin. If the folder exists, the downloader decides to download the cryptor.” continues the analysis.
“If the folder doesn’t exist and the machine has more than two logical processors, the miner will be downloaded. If there’s no folder and just one logical processor, the downloader jumps to its worm component, which is described below in the corresponding part of the article.”

と書かれており、感染時に「%AppData%\Bitcoin」というフォルダがある場合はランサムウェアがダウンロードされ、そうでない場合にはプロセッサ数が2個の場合はコインマイナーが、1個の場合はワーム(感染拡大用のボットにする?)がそれぞれダウンロードされる様子。

DEFCON中止のお知らせ

なお、ジョーク記事。

追記: 実はこの「DEFCONキャンセル」は毎年行われてるジョークみたいです。笑 真に受けてまじめに全文翻訳してしまいました。。今年参加される方は楽しんでください( ^ω^ )

とのこと。2014年頃から同じ文面なんだとか。

セキュリティのハードニング(堅牢化)技術競う - 宮古新報ニュースコム

ツイッタ検索用のタグは「#HIICL」