注意喚起や情報共有活動における受信者側の「コスト」の問題について ー情報発信がアリバイや成果目的の自己目的化した行為にならないためにー - JPCERT/CC Eyes
Top > “脆弱性”の一覧 > 注意喚起や情報共有活動における受信者側の「コスト」の問題について ー情報発信がアリバイや成果目的の自己目的化した行為にならないためにー JPCERT/CCも関わった、「サイバー攻撃被害に係る情報の共有・公表ガイダンス」[1]が今年3月に公表されました。このガイダンスでは、被害組織同士、あるいは被害組織と専門組織間のやり取りを通じた情報共有活動や被害公表をスコープとしており、主に被害組織が情報を発信する場合を中心に解説しています。他方で、多くの組織においては、情報共有活動において「情報を受け取る」側であることが大半です。また、情報共有活動に限らず、注意喚起情報など日々多くの情報を受け取っています。 今回はこの「情報の受け取り」に係る課題、特に、“自己目的化”した注意喚起や情報共有(提供)が受け取り手側にコストを与えてしまう問題点について解説し、より効果的な注
マルウエアが含まれたショートカットファイルをダウンロードさせる攻撃 - JPCERT/CC Eyes
2019年4月から5月にかけて、日本の組織に対して、不正なショートカットファイルをダウンロードさせようとする標的型攻撃メールが送信されていることを確認しています。これらの標的型攻撃メールにはリンクが記載されており、クリックするとクラウドサービスからショートカットファイルがダウンロードされます。このショートカットファイル内にはダウンローダが含まれており、ショートカットファイルを実行することによって動作します。 今回は、この最近確認された検体の詳細について紹介します。 ダウンローダが動作するまでの流れ 以下は、ショートカットファイル実行からダウンローダが感染するまでの流れを示しています。 図 1:ショートカットファイルからダウンローダが感染するまでの流れ JPCERT/CCで確認しているショートカットファイルは、以下のようなコードが含まれており、実行すると外部からVBScriptを含むHTML
既知のマルウエアをメモリイメージから簡易に検知できるツールを開発 ~impfuzzy for Volatility~(2016-11-01)
Top > “マルウェア”の一覧 > 既知のマルウエアをメモリイメージから簡易に検知できるツールを開発 ~impfuzzy for Volatility~(2016-11-01) 今回は、既知のマルウエアをメモリイメージの中から抽出するためにJPCERT/CCで作成し、分析業務に利用しているツール「impfuzzy for Volatility」について紹介します。 メモリフォレンジックにおけるマルウエアの検知 ファイル形式のマルウエア検体が既知のものかどうか判定するには、ファイル全体のハッシュ値(MD5やSHA256など)を用いてマルウエアハッシュ値のデータベースと照合し、一致するかどうかを確認するのが最も簡単で高速な方法です。しかし、この手法はメモリフォレンジックには利用できません。その理由は、メモリ上にロードされた実行ファイルが、OSやマルウエア自身によって一部の情報が書き換えられる
ショートカットファイル内に残る攻撃者の開発環境の痕跡(2016-10-11) - JPCERT/CC Eyes
ショートカットファイルはシェルリンクとも呼ばれ、アプリケーションを起動したり、OLEのようなアプリケーション間連携を実現したりするための仕組みです。 2016年6月23日の分析センターだより「ショートカットファイルから感染するマルウエアAsruex」でも紹介したように、ショートカットファイルはしばしば マルウエアを感染させるための手段としても使われています。 一般に、ショートカットファイル内には、ショートカットファイルを作成した日時や環境に関する様々な情報が記録されています。このことは攻撃者が作成したショートカットファイルについても同様です。これを利用すると、 攻撃に使われたショートカットファイルに記録された情報を抽出し関連付けることで、同じ攻撃者によって作成された可能性があるショートカットファイルを識別することができます。 今回は、攻撃に使われたショートカットファイル内に記録された情報か
ショートカットファイルから感染するマルウエアAsruex(2016-06-23) - JPCERT/CC Eyes
JPCERT/CCでは、2015年10月頃から、不正なショートカットファイルが添付されたメールが宛先の組織を絞り込んで送信されていることを確認しています。このショートカットファイルを開くと、Asruexと呼ばれるマルウエアに感染します。Asruexは、リモートから操作する機能を持ったマルウエアで、メールを送信している攻撃者はこのマルウエアを利用してターゲットにした組織に侵入を試みていると考えられます。なお、このマルウエアは「DarkHotel」と呼ばれる攻撃グループに関連しているとマイクロソフトがブログ[1]に記載しています。(マイクロソフトは、この攻撃グループを「Dubnium」と呼んでいます。) 今回は、Asruexの詳細について紹介します。 Asruexが感染するまでの流れ 図1は、ショートカットファイルを開いてからAsruexに感染するまでの流れを示しています。 図 1:ショートカ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
