9/16(月)週 読んだ記事まとめ

adguard.com

  • AdBlockとuBlockの偽物がChromeウェブストアに公開されていた
    → 現時点では既に削除されている
  • 偽物のアドオンにはそれぞれユーザ数が80万以上もいた
  • 偽物のAdBlockは本物のAdBlockのコードを流用しているので実際に広告をブロックするが、インストールして約55時間後に挙動が変わり、Cookie stuffing*1を行うようになる
  • 隠ぺい機能があり、例えばDeveloperコンソールが開いていると一時的に悪意ある挙動を停止する
  • Googleの規約上、正規ツールと混同させるような名前を使用することに問題はない
  • 今回のケースではユーザ数も多く、ユーザレビューの評価も高かったため、悪意のあるツールと気づくのが難しい

 

www.atmarkit.co.jp

  • 脆弱性を見つけたときの報告談
  • 実際にIPAに通報した際の流れや、公表の仕方に関する考察・注意点など興味深い

 

www.openbugbounty.org

  • SSRFの脆弱性を利用してサーバ上のローカルファイルにアクセスする方法を解説
  • URLを入力すると、サービスが稼働しているかを監視してくれる機能
  • http以外のスキーム(file, ldap, gopher, ftp, ssh)だと上手く動かない
  • 制限をBypassする方法として、Locationヘッダーを使ったリダイレクトを使用することでローカルファイルにアクセスすることができた

8月12日(月) 興味のあった記事

Saefko: A new Multi-layered RAT | Zscaler Blog
www.zscaler.com

“Writing my Medium blog to complete account takeover” by Rotem Reiss
medium.com

Privilege Escalation using Api endpoint - Ronak Patel - Medium
medium.com

Say Cheese: Ransomware-ing a DSLR Camera - Check Point Research
research.checkpoint.com

(DEF CON 27 - PDF slides) .NET Malware Threat: Internals and Reversing
www.reddit.com

Malware Naming Hell: Taming the mess of AV detection names
www.gdatasoftware.com

Finding Evil in Windows 10 Compressed Memory, Part Three: Automating Undocumented Structure Extraction
https://www.fireeye.com/blog/threat-research/2019/08/finding-evil-in-windows-ten-compressed-memory-part-three.html

8月7日(水) 興味のあった記事

 

MoqHao Related Android Spyware Targeting Japan and Korea Found on Google Play

securingtomorrow.mcafee.com

 

Forensics Tools by Windows Artefact

medium.com

 

Report: Thin Red Line - Penetration Testing Practices Examined

threatvector.cylance.com

 

Commando VM 2.0: Customization, Containers, and Kali, Oh My!

https://www.fireeye.com/blog/threat-research/2019/08/commando-vm-customization-containers-kali.html

 

APT41: A Dual Espionage and Cyber Crime Operation

https://www.fireeye.com/blog/threat-research/2019/08/apt41-dual-espionage-and-cyber-crime-operation.html

リバースエンジニアリングツール「Ghidra」

Ghidraは、NSAが最近公開した無償のリバースエンジニアリングツール。
試用した感想のブログ等を見る限りでは、商用のIDAには劣るもののなかなか使えるとして、評判が高そうです。

IDAと比べた時の欠点として、
・デバッガー機能がない
・速度が遅い
・正しく解析できない部分がある

等々が挙げられていましたが、IDAだと何十万もするデコンパイル機能が無償で付いている他、namespaceやclassを自動的に識別してくれる等、個人的に凄く嬉しい機能も備わっているようです。 

■ Ghidraの参考サイト
〇Download GHIDRA 9.0 — software package, slides, and exercises

ghidra-sre.org

Github

github.com

〇Installation Guide — basic usage documentation

ghidra-sre.org

〇Cheat Sheet — keyboard shortcuts

ghidra-sre.org

〇Online Courses

ghidra.re

〇Ghidra Wiki

blog.because-security.com

〇Ghidra まとめ

soji256.hatenablog.jp

NSAリバースエンジニアリングツール「Ghidra」を公開

japan.zdnet.com

〇Ghidra Tutorial + CTF・脆弱性診断 超入門 Reversing①

ninjastars.hatenablog.com

〇Ghidra: A quick overview for the curious

0xeb.net

〇Quick Analysis of a Trickbot Sample with NSA's Ghidra SRE Framework

www.peppermalware.com→ Ghidraを使って2019年初期のTrickBotを簡易解析する記事(復号化処理が行われている箇所の特定)

〇An Hour with Ghidra : The Good and The Ugly

blog.fadyothman.com

NSA Releases GHIDRA 9.0 — Free, Powerful Reverse Engineering Tool

thehackernews.com

SEGA Genesis ROM Hacking with GHIDRA

zznop.github.io

〇Analyzing MIPS Windows CE PE’s with the NSA’s GHIDRA Suite

medium.com

→ Ghidraを使ってWindows CEMIPSアーキテクチャの検体を解析する記事

〇Analysing meterpreter payload with Ghidra

isc.sans.edu

→ Ghidraを使ってmeterpreter検体を解析する記事

〇Ghidra: few thoughts after 3-day usage

medium.com

→ GhidraとIDAを比較したときの感想