「WannaCry 2.0」の内部構造を紐解く | MBSD Blog
2017.05.18 コンサルティング事業部 サイバーインテリジェンスグループ 吉川 孝志 ここ連日ランサムウェア「WannaCry」が世間を騒がせています。 弊社では3月時点で「WannaCry 1.0」の検体を入手しており、ランサムウェアとしての「WannaCry」は以前からDropbox等で一般のランサムウェアと同様に拡散されていたことを把握しています。 本記事では、今回の一連の攻撃で利用された「WannaCry 2.0」を構成する複数のファイルおよびその関係性、そして「WannaCry 1.0」との比較分析により見えた「WannaCry 2.0」の特徴について解説します。 ■WannaCryに感染するまでの複数検体の関連について まず初めに、今回の感染で利用される一連のファイルの関連図を以下に示します。 世間で公開されている今回の攻撃の分析において、個別のファイルの視点で捉えている
古いAndroidは「XP状態」、ランサムウェア感染攻撃を確認
「Android 4.xを搭載した端末の多くはWindows XPを搭載したPCと同じ状態」と専門家は解説する。 Androidの過去のバージョンに存在する複数の脆弱性を突いて、Webページを見ただけでランサムウェアに感染させる攻撃が出回っているという。セキュリティ企業のBlue Coat Systemsが4月25日のブログで伝えた。 それによると、この攻撃には広告を使ってWebページから不正なJavaScriptを読み込ませる新たな手口が使われていた。問題のJavaScriptには、イタリア企業のHacking Teamから流出した「libxslt」の脆弱性を突くコードが仕込まれ、これを使ってランサムウェアアプリをインストールさせる仕組みだった。Androidアプリをインストールする過程で通常は表示されるパーミッション確認画面も表示されなかったという。 ランサムウェアは捜査当局を名乗って
ランサムウェア「Petya」によってアクセスできなくなったドライブ修復手順メモ
先月末にファイル単位ではなくディスク単位で人質に取るタイプのランサムウェア「Petya」が登場しました。 こちらのブログでも感染するとどうなるかというブログエントリを公開しました。 その「Petya」に感染したドライブを修復する方法を見つけた方が手順を公開されていたので本ブログでも手順を参考にしならが修復の可否を検証しました。 下図は「Petya」に感染したハードディスクドライブ[Fドライブ]を別のコンピュータに接続している状態です。 正常に接続されてはいるもののRAWデータとして認識しており、開こうとしてもポップアップのメッセージにもあるとおり 読み取ることができずアクセスすることができない状態です。この状態で修復に必要な情報をこのディスク内から抽出します。 抽出には「Petya Sector Extractor」というツールが公開されているのでそちらを利用しました。 正常に実行されると
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
