FireEye が悪意ある PowerShell だけを検知する仕組みを作ったとのこと
- Malicious PowerShell Detection via Machine Learning
シグネチャや振る舞い系でも検知が難しいとされている PowerShell の悪用について、FireEye が悪意ある PowerShell だけを検知する仕組みを作ったというFireEye公式ブログの記事。
単純に「-Exec Bypass」や「-encodedcommand」を検知するようなことではなく、FireEye が独自に収集した悪意あるコマンドと企業内で利用される正規のコマンドから大規模なデータセットを作成し、それに基づき機械学習で悪性のものかどうかを判断するとのこと。
悪意あるコマンドを検知する流れ
- Base64 エンコードされているコマンドを検知・デコード
- 記述の特徴からエンティティを特定(IP、URL、電子メール、レジストリキーなど)
- クリアテキストとエンティティをトークン化
- ベクトルを作成
- 教師付き学習モデルを用いて悪意のあるコマンドである可能性を計算
記事は図が多用されていてパット見で分かりやすい。
処理を組み合わせて難読化/複合ができるツール CyberChef
以下のサイトでオンライン利用もできるし、左上にあるリンクからダウンロードしてローカルでも利用できる。
「To Base64」「From Base64」といったパーツがあり、これを中央のレシピ領域で組み合わせて実行できる。圧縮アルゴリズムやハッシュ値変換なども用意されている。
以下の記事で知ったもの。
MNCTF2018 writeup - うさブロ
VPNFilter による実害の記事
But at the time of writing, there is no evidence to suggest this was a malicious and orchestrated attack. The VPNFilter malware spreads by randomly scanning all Internet IPv4 addresses, and it most likely landed on the plant's network by chance and because of routers running vulnerable firmware.
と書かれており、VPNFilter は IPv4 アドレスをランダムにスキャンする仕組みがあるので、それで脆弱なところが偶然あたっただけで、今回の件は標的型ではないだろうとされていた。
Microsoft Teams Free Version Is Now Available
無料なものの、利用には氏名や住所や生年月日などの入力が求められるので、気軽にさっと使うような感じではなさそう。
SettingContent-ms を埋め込んだPDFの検体
SettingContent-ms file embedded inside PDF files used to deliver AmmyRAT.
— c0d3inj3cT (@c0d3inj3cT) 2018年7月12日
1. 162e98d89f2ae3b4b469b066ebfe02af22e9b869
2. PDF uses JavaScript to execute embedded SettingContent-ms file.
3. Uses PowerShell to fetch payload from: 169.239.129.117/cal@enigma0x3 @subTee @mesa_matt pic.twitter.com/PpgmhpBBVL