setodaNote

忘れる用のメモ書き for Cybersecurity

2018-07-24 記事まとめ

記事まとめ

CNCERT:我国DDoS攻击资源月度及2018年上半年治理情况分析报告

中国語の記事で中国のDDoS状況を報告している記事。かなりの分量。 英語圏だと「中国」とひとくくりにされるところ「北京市」「河南省」といった粒度で統計を出している。 めずらしいものを見た気がした。

なお詳細は以下のレポート (PDF)に記載されている。 図は綺麗なものの、翻訳をかけずらいのでWebの方が読みやすいと思う。

http://www.cert.org.cn/publish/main/upload/File/DDoS201806.pdf

 

New Bluetooth Hack Affects Millions of Devices from Major Vendors

Bluetooth に中間者攻撃などを受ける脆弱性があるという記事。 物理的に近距離にいないと攻撃が成立しないので、実害が出ることはあまりなさそう。

 

CYBER ATTACKS SPIKE IN FINLAND BEFORE TRUMP-PUTIN MEETING

https://www.f5.com/labs/articles/threat-intelligence/cyber-attacks-spike-in-finland-before-trump-putin-meeting

普段はあまり攻撃を受けないフィンランドに対する攻撃件数がスパイクしたというF5の報告記事。 スパイクの時期はトランプ大統領とプーチン大統領の会談があった時期と重なるとしている。
レポートでは攻撃元の国や攻撃対象のポート番号などが割合で報告されている。

 

DDoS attacks in Q2 2018

カスペルスキーが2018年Q2に検知したDDoSについてのまとめ記事。 4月からの件数推移、攻撃手法のシェア、攻撃元の国、継続時間の統計などが報告されている。 グラフが多くあり読みやすい。

 

广东重庆多家三甲医院服务器遭暴力入侵,黑客赶走50余款挖矿木马独享挖矿资源

重慶にある病院のサーバが侵入され、マイニングに利用されたという記事。 ただ、気になったのはそのマルウェアが他のマイニング関連のプロセスを殺すという記載。 もう蔓延していること前提の動作がちょっと面白かった。陣地の奪い合い感。

■対象としているマイニングプロセスの一覧

EthDcrMiner64.exe、eth.exe、eth11.exe、NMiner.exe、ETHSC.exe、
miner.exe、ethdcr.exe、ccminer.exe、NiceHashMinerLegacy.exe、
ZecMiner64.exe、DaggerGpuMiner.exe、xmrig.exe、VaalEth64.exe、
zm.exe、ethminer.exe、ccminer-x64-75.exe、bfgminer.exe、
ccminer-x64.exe、ethminer117.exe、cast_xmr-vega.exe、miner64.exe、
enemy.exe、etherdisk-miner.exe、xmr-stak-amd.exe、NsGpuCNMiner.exe、
xmrig-amd.exe、lolMiner-mnx.exe、ChinaMiner.exe、挖矿专家.exe、
marsminer.exe、bminer.exe、excavator.exe、PhoenixMiner.exe、
ethsafe.dat、MinerMaster.exe、ccminerAlexis78.exe、minerd.exe、
长沙-矿工ETH-SC双挖.exe、长沙-矿工A卡V5.6.exe、
长沙-矿工N卡ZECV1.032.1.6(N卡0.3.2b内核).exe、eth&etc挖矿.exe、
中国掘金者.exe、NiceHashMiner.exe、Miner.exe、client.exe、
AwesomeMiner.RemoteAgent.exe、11.6.exe、10.2eth&etc挖矿.exe、
EthControl.exe、MaxBai挖矿伴侣(整合版).exe、富矿矿工.exe、
Optiminer.exe

 

威胁电脑安全的元凶就是它!360发现首个跨界APT攻击

http://www.freebuf.com/articles/network/178036.html

携帯端末を介してPCに感染する手法についての記事。 それはともかく記事中の「.PIF」という拡張子が気になった。

記事では手法の特徴として、携帯端末での画像フォルダとして 一般的な「DCIM」といった名称を使うことと、「.PIF」という拡張子を使うことが書かれていた。 この拡張子について調べると少なくとも2003年には悪用されているようだった(@IT:Windows TIPS -- Cautions:メールに添付された.PIFや.EXE、.SCRなどの実行ファイルに注意)。 PIF(Program Information File)ファイルは、MS-DOS時代のものらしい。 このファイルの拡張子は非表示となりアイコンにショートカットを示すマークが付く。 実行形式なのでダブルクリックで起動するらしい。いろんな拡張子があるなぁと。

 

威胁预警 | TrickBot银行木马归来袭击全球金融机构

http://www.freebuf.com/articles/web/178160.html

★注意★
記事中のIoCの一部がリンク形式になっているので、ブラウザの先読み機能がONになっているとアクセスしてしまうかも。

TrickBot Bank Trojan の詳細な解析レポート。 ただ図が多くあるが解像度が低いので読みづらい。

 

更新履歴:

  • 2018-07-25 新規作成
  • 2018-07-25 記事「威胁电脑安全的元凶就是它!360发现首个跨界APT攻击」を追加
  • 2020-03-19 表記を一部修正