setodaNote

忘れる用のメモ書き

2018-07-23 記事まとめ

Unknown Dev Brings LibreOffice to Windows 10 via the Microsoft Store

LibreOfficeMicrosoft Store で $2.99 で売られているのが見つかったという記事。 7月7日に「.net」という開発者アカウントでひっそりと公開され、 無料でインストールするか、$2.99 で購入することができるとのこと。

記事の最後に LibreOffice の開発コミュニティである The Document Foundation のコメントが追記がされていた。 それによると Store のアプリケーションとコミュニティはまったく無関係であり、詳細は調査中とのこと。

The Document Foundation has been made aware of an unofficial version of LibreOffice on the Windows Store. We are investigating further, but we want to be clear: this is not an official version created by The Document Foundation, so the app's page is misleading. The only official source of the software (which can be downloaded for free, i.e. without any cost for the end user) is LibreOffice website: https://www.libreoffice.org. lso, the money from the Windows Store version is not collected by The Document Foundation.

THRecon:端末情報収集ツール

THRecon という Powershell を使った端末情報の収集ツール(Threat Hunting Reconnaissance Toolkit と紹介されている)。 手元の環境(Win10)では以下の情報が採取できた。

コマンド:

Invoke-THR -All

結果:

ADS.csv ※手元の環境ではエラーとなりうまく取得できなかった。
ARP.csv
Autoruns.csv
BitLocker.csv
Certificates.csv
Computer.csv
DLLs.csv
DNS.csv
Drivers.csv
EnvVars.csv
EventLogs.csv
GroupMembers.csv
Hardware.csv
Hosts.csv
Hotfixes.csv
MAC.csv
MRU.csv
NetAdapters.csv
NetRoute.csv
Processes.csv
RecycleBin.csv
Registry.csv
ScheduledTasks.csv
Services.csv
Sessions.csv
Shares.csv
Software.csv
Strings.csv
TCPConnections.csv
TPM.csv

使い方

git clone https://github.com/TonyPhipps/THRecon C:\Users\$env:UserName\Documents\WindowsPowerShell\Modules\THRecon
mkdir c:\temp\
cd c:\temp\
Invoke-THR -Quick

f:id:soji256:20180724231942p:plain

なお、手元の Windows7 環境では PowerShell のバージョンを上げても、 一部の情報収集がエラーとなりうまく動作しなかった。 Windows10 であれば ADS を除き、正常に取得できているようだった。

マルウェア解析環境の構築手順(VirtualBox、INetSim、Burp)

INetSim と Burp を組み合わせて SSL 通信にも対応しているところがいいなと。

Source Code for Exobot Android Banking Trojan Leaked Online

Exobot という Android 向けのトロイの木馬ソースコードが流出しているという記事。 このマルウェアは非常に強力で、最新の Android にも感染するため、これを使った攻撃が増加する危険性があるとしている。

記事中で紹介されていたモバイル端末に対する脅威のレポート: https://www.threatfabric.com/docs/ThreatFabric-Evolution_of_mobile_threat_landscape-2018.pdf

Googleユーザーのあなた、Googleギフトが当選」の通知に注意 | マイナビニュース

最近、この広告が本当に増えている感じがする。 マイナビニュースの別の記事を開いたときに表示されたこともあった。 その際に誘導されるドメインwinmoreprize[.]com だった。