Ivanti Connect Secure VPNの脆弱性(CVE-2023-46805 and CVE-2024-21887)

悪用している攻撃者 Volexity UTA0178 (中国のAPTと推定) Mandiant UNC5221 観測時期 2023年12月初め 脆弱性 CVE-2023-46805 認証バイパス CVE-2024-21887 コマンドインジェクション マルウェア/ツール マルウェア ZIPLINE libsecure.soのaccept関数をハイジ…

Agent Teslaの感染に利用されるステガノグラフィの分析

Agent Teslaと呼ばれるマルウェアに感染させる攻撃方法の分析レポートがMcAfeeより公開されていました。 www.mcafee.com そのなかで、Agent Teslaはステガノグラフィと呼ばれる、画像の中にマルウェアを埋め込む手法が使われているとのことで、画像ファイル…

SMSで届いた詐欺メッセージの調査

今日、SMSで以下のような詐欺メッセージが届きました。 記載されているURLにアクセスしてみると、以下のような大量の難読化されたJavascriptのコードが書かれています。 難読化を解除するのが面倒だったので、簡単にデバッガーで動かしていくと、以下のよう…

IcedIDに感染させるWordファイル調査

Emotetに代わり11/3あたりから届き始めている #IcedID のこんな感じ。■件名Re:●●FW:●●(●●は実際の件名)■本文下図参照(返信を装ってますが、実際の過去本文があるものは見ていません)■添付ファイルhttps://t.co/vL5vQnDQzMhttps://t.co/dvfPzmKMNcいずれ…

日本語メール添付のマルウェア調査

日本語のマルウェアメールの接到を確認していますJapanese language #malspam observed #AveMariaRAT?title : 確定注文番号 2020-1-32410 / 21981/XMHpayload : https://t.co/tHTZDezhvG[.]com/u/0/uc?id=1nJC70ii9821la4-UiRQ2pwKENNHbKFFx&export=download…

SMBv3の脆弱性 (CVE-2020-0796)

影響を受けるWindowsのバージョン Windows 10 Version 1903 Windows 10 Version 1909 Windows Server, version 1903 (Server Core installation) Windows Server, version 1909 (Server Core installation) 攻撃経路 脆弱なSMBv3サーバに攻撃パケットを送信 …

リバースエンジニアリングツール「Ghidra」

Ghidraは、NSAが最近公開した無償のリバースエンジニアリングツール。試用した感想のブログ等を見る限りでは、商用のIDAには劣るもののなかなか使えるとして、評判が高そうです。 IDAと比べた時の欠点として、・デバッガー機能がない・速度が遅い・正しく解…

マルウェア解析用のラボ構築

zeltser.com マルウェア解析用のラボ構築手順が書かれた記事。全て無料で構築出来るので、今からマルウェア解析を始めたいという方には参考になりそうです。 以下、簡単に概要を記載します。 ※免責事項として、ここに記載している手順を参考に実施して何らか…

マルウェア解析入門

medium.com マルウェア解析の入門記事。内容的に特に新しいものはなかったものの、体系的に見直す意味で勉強になりました。 以下、簡単に概要を記載します。 ■ マルウェア解析を行う理由 マルウェアの挙動を理解するため IOC情報を収集するため 知識/研究目…

「PowerPool」のバックドア解析

www.welivesecurity.com 既に日本のITニュースでも広く取り上げられているサイバー犯罪グループ「PowerPool」に関する記事。Windowsのタスクスケジューラに存在する権限昇格の脆弱性を突くPoCがGithub上に公開されて2日後に、PoCを組み込んだマルウェアが作…

北朝鮮関与のマルウェア「KEYMARBLE」

www.security-next.com 米国土安全保障省(DHS)と米連邦捜査局(FBI)が北朝鮮が関与すると思われるマルウェア「KEYMARBLE」について注意喚起を呼びかけたとの記事。 情報元は下記のサイトと思われます。 Incident Reporting System | US-CERT ■ 概要 北朝…

7/24(火) 気になったセキュリティ記事

blog.mazinahmed.net 絵文字を使ってWebShellを作成する記事。 PHPは変数名にUnicode文字を使えるため、絵文字で以下のようなコードが書けるみたいです。 少し長めのHello World!。

7/21(土) 気になったセキュリティ記事

www.welivesecurity.com ESET社がウクライナ政府を狙ったマルウェアに関する記事を公開していたので概要をメモ。 ■ 標的 ウクライナ政府機関 ■ 攻撃者 2015/10から既に活動 スキルは高くないが、ソーシャルエンジニアリングを駆使 ■ 使用するマルウェア Quas…

7/18(水) 気になったセキュリティ記事

Blackgear Cyberespionage Campaign Resurfaces, Abuses Social Media for C&C Communication - TrendLabs Security Intelligence Blog 日本を標的にしているAPT攻撃者グループに関する最新の記事があったので簡単に概要をメモ。 ■ グループ名 Blackgear (別…

「干○妹!身代金ウイルス」の解析

マルウェアの解析スキルを磨くため、最近の適当なランサムウェアがないかを探していたところ、VirusTotalで奇妙なマルウェアを発見。 コメントを見ると暗号化したファイルの拡張子を「.下物妹!」に変更する、との(面白い)情報がありましたので早速入手して…

2/18(日) 気になったセキュリティ記事

andreafortuna.org サンドボックスやアンチウイルス製品に検知されることを回避するためにマルウェアが使用するテクニックを解説した記事。 例として挙げられているものとしては以下(一部)。 1.サンドボックス検知 (1) CPUのコア数を確認 サンドボックス…

2/17(土) 気になったセキュリティ記事

www.c0d3xpl0it.com わざと悪意のあるネットワークトラフィックを組織内部で発生させて検知できるかどうかをテストするためのツール。 生成できるトラフィックとしては以下があるとのこと(一部)。 C2サーバとして使われているドメインにDNSリクエスト C2サ…

Square CTF WriteUp - Crypt 50pt -

Square CTFのCrypt 50ptの問題として、以下の暗号文が出題。 The androids’ plans for domination include securing ancient artifacts relating to the animal world to be used for nefarious means. We managed to infiltrate one of their digsites and …

gemでインストール時にエラーが発生

gemコマンドで初めてツールをインストールしようとしたところ、以下のエラーが発生。 #gem install zsteg Building native extensions. This could take a while...ERROR: Error installing zsteg: ERROR: Failed to build gem native extension. current di…

リバースエンジニアリングコンテスト開催

FireEyeより「2017/09/01」からCTF形式のリバースエンジニアリングコンテストが開催されるとのこと。 個人で解く形式で、課題はWindows以外に、一部Linux、Android、Arduino向けの出題も有り。 以下のCTFページから過去の問題も落とせるみたいなので 腕試し…

Hack Back系読み物

悪名高いハッキング会社を逆ハックしたハッカーによる解説記事 Hacking Team Hack Back! A DIY Guide - Pastebin.com FlexiSpy How FlexiSpy Was Hacked ≈ Packet Storm