サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
中東情勢
blog.0day.jp
Tsurugi Linux 「SECCON版」のリリース、radare2 + Ghidra & R2DECデコンパイラーの組み込みバーション [English Translation in text] 昨年(2018年11月3日)のAVTOKYOカンファレンスで 「Tsurugi Linux」フォレンジック・ディストリビューションが日本でリリースされております。 当日のイベントで発表した時のスライドを公開し、次の日に「Tsurugiフォレンジック・ワークショップ」も行い、そして 2018年12月にもSECCONカンファレンスでTsurugi LinuxフォレンジックCTF問題の説明を行いました。その後Tsurugi Linuxが全世界の発表を回って、SANS DFIR (Prague)、HACKINBO (Rome)、「BlackHat」 (USA)とその他のイベントでも発表とトレーニング
1.はじめに *)本APT攻撃の目標をもっと知りたいなら、私の Q & A (英文)インタビュー内容をご確認ください。 ついさっき VXRL(credit)から連絡があり、あるAPTフィッシングメールのURLでマルウェアをダウンロードしているようです。URLは国内のGeocitiesさんのお客様サイトで、早く削除が欲しいとの問い合わせでした。 サンプル/証拠: ※)APT攻撃のフィッシングメールですので、ここで全てのメール情報を見せる事が出来ません。 どんなマルウェアを聞いていたら、情報が不明で、僕の方で色んなシグネチャーを確認したら検知率はゼロとの事で、これじゃマルウェアの証明が無いと多分Geocitiesさんも対応してくれないだとうと、僕の方で本件のAPT解析をしました。 この解析の結果を使ってマルウェア駆除の参考情報にしてください。 |APTとは? | |APT攻撃(標的型攻撃)とは
昨日、「MalwareMustDie」のブログで昨年10月からの SSH での TCP フォワーディングを使うハッキングの仕組みを 報告しました。 SSHでのTCPポートフォワーディングとは日本語では「SSHでのポートフォワーディング」ですね。ようは、確立している SSH 接続をトンネルとして利用し、任意の通信をトンネルを経由させて転送することで、転送先ネットワークやサーバとは、透過的な通信が可能となります。 報告内容の中にSSHでのポートフォワーディングの上でSMTP経由のハッキングの動きがあり、回数も多く、2016年10月24日から2017年2月27日の段階では 8,000件以上 の SMTP 不正なアクセスの動きを発見しました。 スクリーンショットは下記となります↓ ↑その中に74件は国内のメールサーバのIPを発見致しました。 報告しましたSSHでのポートフォワーディング経由SMTP
■はじめに 今回Linuxのハッキング事件のレポートを書かせて頂きます。 内容的には「Linux OS x86」、「ELFバイナリリバーシング」と「シェルコード」の絡みとなります。 この記事を読むだけでもOKですし、もし再現したい場合ASM、gccとLinuxリバーシングのノウハウが必要だと思います。環境的にLinuxのシェルですので解析は全てradare2でやりました。 取り合えず簡単に書きますので、リラックスしながら楽しくに読んで下さい。 ■ハッキングされた情報 とあるLinuxマシンに怪しいプロセスが発見されました↓ 28641 ? S 0:00 [kworker/2:0] 30514 ? S 0:00 [kworker/1:0] 30518 pts/1 S+ 0:00 [sh] 31544 ? S 0:00 [kworker/3:2] 31670 pts/1 S 0:00 nets
■はじめに 今回は新しいマルウェアにハッキングされたWordpressサイトの報告を致します。 恐らく2017年1月25日から、Wordpressで作られたウェブサイト/ブログのハッキング事件が沢山発見されております。 ハッキングされたサイトにZeus(Pony種類)若しくはVawtrakなどのマルウェアファイルを発見されています。ハッカーが古い版Wordpressソフトウェア、若しくは、プラグインの脆弱性を狙い、「/wp-content/plugins/」ダイレクトリーの下に暗号化されたPonyやVawtrakマルウェアファイルを入れていた、との状況でいくつか確認をさせて頂きました。 ハッキングされたサイト一覧の中に日本国内のwordpressサイトもあります。 ■Hancitorマルウェア感染仕組みについて 簡単にいうと、Hancitor(Chanitor / Hancitor Mal
■はじめに Linux IoTマルウェアについて、僕が書いている英語のブログ/MalwareMustDieで最近結構研究しています。色んなマルウェア種類を発見し、そのマルウェアの感染目的は殆どボットネット、DDoS、ハッキング踏み台、スパムのプロキシ、など。 一つの種類は2年前MalwareMustDieのチームで「ShellShock」の時代にはじめて発見しましたELF/DDoSトロイ「GayFgt/Torlus/LizKebab/Qbot/Bashdoor/Bash0day/Bashlite」のマルウェアですね。名前が沢山ありますが同じ物で、「LizardSquad」が作ったマルウェアです。 当時僕がそのGayFgtのマルウェアをリバーシングしながらそのままでVirusTotalにレポートを書きました。その時の調査実績の証拠はこのゼロデイジャパンのブログに残しました。 今はshells
■はじめに まず、「DNSアンプ攻撃」が分からない方はこちらをご覧下さい。そしてDNS「オープンリゾルバ/Open Resolvers」についてはこちらのリンクに纏めて説明しています。 「DNSアンプ攻撃」と「オープンリゾルバ」の関係は↓ Open Resolvers pose a significant threat to the global network infrastructure by answering recursive queries for hosts outside of its domain. They are utilized in DNS Amplification attacks リファレンス: Open Resolver Project openresolverproject.org 大体4月中旬から少しずつ日本国内に悪用された「DNSアンプ攻撃」のIPレポ
昨日から始まり、日本国内のウェブサイトがハッキングされ、そしてそのサイトにLockyランサムウェアのバイナリーを発見しました。いくつか証拠をオンラインで見たら狙われている脆弱性がばらばらで、恐らくハッカーはウェブ脆弱性スキャナーを使ったと考えています。 Lockyランサムウェアの最終感染キャンペーンで日本ウェブサイトからの感染URLが現在2番目となります↓ 最新情報の更新> 6月30日の感染キャンペーンの時点で悪用されているハッキングされたウェブサイトの一番は.... ...日本のです。 ランサムウェアの感染ファイルが悪用されている状況は良くない状況なので、早めにクリーンアップの対応をしてほしい、そして脆弱性を直してください。その他のウェブサイトの管理者の方々にはサイトの「hardening」テストを実行した方がいいと思います。 下記はスナップショットとなります↓ 最新追加情報... ウイ
《 ELFマルウェアワークショップの方々へ 》 AVTOKYO-2015でELFマルウェアワークショップ「Swimming in the Sea of ELF」を開催しました。来てくれた皆さんに有難う御座いました。丁度最近Linuxランサムウェアが流行ったので、ワークショップ上でunix shellでリバーシングが必要な理由を説明しました。ワークショップで説明したr2をセットアップした後、下記のリバーシングメモを参考に練習が出来ると思います。 => >English version is here and here 目次 (1)感染のバックグラウンド (2)どんなソースコードを使用しているのか (3)何処から何処まで暗号化されているのか (4)復号機能のリバーシング (5)なぜPolarSSLのソースコードが沢山使われたのか (6)ずっと最初から「PolarSSL」を使われたのか (7)結
平成27年11月14日の16時半から「AVTOKYO 2015」のイベントでELFマルウェア解析ワークショップを開きました。ELFバイナリーについてのマルウェアの調査・解析の話ばかりなのでワークショップのタイトルは「Swimming in the Sea of ELF」でした。タイムテーブルはこちらです。本イベントはおそらく、世界初のELFマルウェア解析のワークショップだと思います。マルチarchitectureのELFバイナリー解析とマルチOSでのELFマルウェア調査・解析・デバッグングをデモする事となります。 .@avtokyo I'm sure it was THE WORLD's FIRST workshop on dissecting multiple arc #ELF #malware w/multiplatform OS (Windows,Mac,FreeBSD) tools
以前の0day.jp記事にも日本国内に対して「Kelihosマルウェア・ボットネット」の感染を報告しましたが 今回このロシア系マルウェア感染ボットネットが「カムバック」しましたので、 今日我々「MalwareMustDie」が12時間モニターしたら、日本国内の感染IP11件を発見しました。 全国の感染されたPC/IPは合計164IPを発見しました。これから情報が増えると思っています(監視し始めたばかり)。 感染されたIPの一覧は下記となります↓ 116.64.101.112|116-64-101-112.rev.home.ne.jp.|9824 | 116.64.0.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd 126.48.37.45|softbank126048037045.bbtec.net.
#OCJP-127: 「Shellshock」攻撃事件、日本国内40件以上の感染、Perlバックドアshellbotマルウェア 「Shellshock」攻撃が未だ沢山発見し、その攻撃からマルウェアに感染されたマシンも多いです。 本事件はその事件の報告ですので、本事件に感染されたマルウェアが多くて、 IRの対応参考情報と国内セキュリティの注意点為このブログに書きました。 ついさっき下記のshellshock攻撃が来ました↓ フルログはこちら⇒【pastebin】 「Shellshock」攻撃元のIP↓ { "ip": "64.15.155.177", "hostname": "ns1.neodepo.com", "city": "Montrテゥal", "region": "Quebec", "country": "CA", "loc": "45.5000,-73.5833", "org":
ElasticsearchのCVE-2015-1427脆弱性を狙っているマルウェアの調査をしました、書いたレポートは下記のURLに確認が出来ます。この記事の参考として後でご覧下さい↓ http://blog.malwaremustdie.org/2015/06/mmd-0034-2015-new-elf.html ↑新規マルウェアですので、参考情報がゼロ、2件暗号化機能を発見しましたが、2DESとXORですので、全部pythonで解決しました。情報公開の為に国内のコミュニティーに情報を公開します。 まずはXORの件、ELFマルウェアが7kBのGIF画像ファイルをダウンロードし、7kBの最後の5kBはXORで暗号化されたマルウェアスクリプトです。キーがバイナリーにリバーシングしたら分かりましたので、本件はpythonで解決しました、decrypt方法は下記のビデオ↓ 次は同じマル
下記のIPアドレスから↓ 104.143.5.15||36114 | 104.143.0.0/20 | VERSAWEB-ASN | US | versaweb.com | Versaweb LLC 107.182.141.40|40-141-182-107-static.reverse.queryfoundry.net.|62638 | 107.182.140.0/23 | QUERY-FOUNDRY | US | queryfoundry.net | Shanghe Yang 下記のログは参考で↓ 2015-06-23 01:29:42+0900 connection: 107.182.141.40:41625 [session: 5899] 2015-06-23 01:29:42+0900 connection: 104.143.5.15:51433 [session: 5900]
先ずはMayhemボットネットを発見した時にここで書きましたので、なお、本攻撃の情報(Wordpress経由)はここで書きました。 その↑2件を先に読んで頂ければ以下の情報をもっと理解が出来ると考えています。 下記のIPアドレスからLinux/Mayhemマルウェアの感染動きを発見、wordpressのサイトが狙われています。 wordpressの安全性が低いパスワードを狙いbruteで攻撃され、クラッキングされるとPHPマルウェアインストーラーファイルをサーバーにアップロードされてしまいます。その後、別のIPからアップロードされたPHPインストーラーファイルを実行されてしまい、ELFと.shマルウェアインストーラーが実行されてしまいます。 マルウェアがインストールされたらマルウェアコントロールセンター(documents-live .com)にPOST HTTP/1.0のリクエストを送信
Windowsマルウェア研究の内容はインターネットで沢山公開されていますが、ELFマルウェアのリファレンスは少ないですね。 最近はほぼ「Microsoft Word」マルウェアと同じ数のELF/Linuxマルウェアが発見されていて、VirusTotalのデータでは”11月上旬の1週間だけでも、3万5000件超の疑わしいELFファイルがVirusTotalに提出された。これは、疑わしい「Microsoft Word」ファイルのアップロード件数である4万4000件をわずかに下回る数だ”と発表されております。 その情報が分かった上で、私は最近の研究で国内「0day.jp」と海外「malwaremustdie.org/チームリーダーとして」でもELFマルウェアの研究を中心に活動しています。新規ELFマルウェアとELFマルウェアの新しい感染仕組みの感染/発見実績をしました。 例えば2013年の「Da
Shellshockでのマルウェア感染について、本問題が未だ続いております。ELF、Perlと「shell script」新しい感染仕組みをほぼ毎日発見します。二日前に新型「MAYHEM」(メイヘム)ボットネットマルウェアの感染仕組みを発見しましたので、この記事で報告します。 「Mayhem」とはどんな物か。このリファレンスで確認が出来ます→ 《1》 《2》 《3》 今回発見した新型「Mayhem」では感染の仕組みが変わりました。前回はPHPのログイン脆弱性を狙い感染を行いましたが、今回はwget(ダウンロード)でリモートサーバからPerlインストーラーをサーバーの/tmpにダウンロード&実行し、Mayhemボットネットマルウェアの「.so」ELFインストーラーファイルをシステムに保存&LD_PRELOADで実行されてしまいます。そのPerlのコードは下記の画像です↓ ↑そのPerlにEL
ゼロデイが出るといつも大忙し。 特にリバースエンジニアリングの僕らの手が回らない状態です。 《一日目》 CVE-2014-6271(bash 0day)の発表後24時間以内にMalwareMustDieのチームメートから連絡があり、私が調査してマルウェア感染攻撃を発見しました。 https://t.co/CO9AOtHglO Shit is real now. First in-wild attack to hit my sensors CVE-2014-6271 #shellshock #bash ping @MalwareMustDie — Yinette (@yinettesys) September 25, 2014↑調査してくれっていう事で、当時自分は外出中でしたが危なそうだったので急いでPCを開いてバイナリーの分析調査を始めました。 「早く!早く!」とあちこちから催促するメッセ
私達は今日新種マルウェアを発見しました。名づけて「Linux/GoARM.Bot」にしました。 本マルウェアはELF/ARM系のマルウェアですが、ARMルーター商品感染専用のマルウェアである。 マルウェアサンプルをVirusTotalにアップロードしましたので、リンクは下記となります↓ 81c9fcf4f8c8d08c9ad13b5973a039d2e21d73e5e424d94507fb035a47448834 27d4a7989b9af86e9ebddb25cbfc9dfcf6800141f476d6a76041a3d8fb437115 c665453c6d8dd3723b4f7505e61ee6d02e5100b7de547127e1f5d593b06a894c それぞれの本サンプルは中国ネットワークにあるHFSウェブサーバで提供したそうです。画像(クリックで拡大)↓ Go言語の確認
PEStudio 8.18, Wireshark & VirusTotalを使いマルウェア調査ガイドビデオを作りました 最近、日本国内のウェブやメール経由のマルウェアの数が非常に増えてきました。 ウェブ感染については今まで沢山語ってきたので 今回はメールに添付されたマルウェアの数について少し説明させていただきます。 週末の二日間に私の所へ下記の4~5種類のマルウェアが添付されたメールが来ちゃいました↓ 種類が4個ですが…数が結構出ますね↓ メールに添付されたマルウェアの調査ガイド動画を作成しましたので、参考にしてください。 使っているソフトはPEStudio 8.18, Wireshark & (ブラウザ経由の)VirusTotalで十分です。 ※)ご注意:感染される可能性があるので動画の内容を興味本位で試してみたりしないでくださいね!
#OCJP-126: マルウェア調査:Potukorp.A、中国の銀行トロイ@KDDI(DION)ダイアルアップネットワーク *) English explanation is--> here 本日、日本国内ネットワークに中国銀行トロイを発見しました↓ ネットワークは日本国内のDIONですね↓ こんなハッシュ↓ Sample : ./str.exe MD5 : cba7742b3016aa4aa037a191ea93b4e6 SHA256 : 9b3ec0f9a079a1954dbadbe6a0f5ac0a628732748c46f04bbe014b22a91e42ec URL : https://www.virustotal.com/latest-scan/9b3ec0f9a079a1954dbadbe6a0f5ac0a628732748c46f04bbe014b22a91e42ec そ
実は本件の報告は下記のツイートした時にやっていました↓ GMOクラウドのホストが #webハッキング事件 にやられていますね(写真) IRC Perl/Bot (Shell-Backdoor) pic.twitter.com/OqsKeWhNNE — Hendrik ADRIAN (@unixfreaxjp) February 12, 2014 今日仕事@電車の移動でパート確認したら、ハッキングツールが未だ残っていて、さらに、つい最近OpenSSHも入れられたそうです。今日迄そろそろ10日間立ちますが管理者は全然未だ気づいて無いみたいですね…では、ここで報告しますよ。 今回さくっとビデオを撮ります↓見ながら以下の説明をご覧下さい。 マルウェア的にツイートしたの物はPerl/IRC-Botで、ハッキングツールです。種類はトロイ・バックドアですね。 色んな機能を持ち、HTTPプロキシ機能、IR
#OCJP-124: とある某(.JP)ドメインが「REVETON」マルウェア感染仕組みに悪用される | AFRAID.ORGのDNSハッキング事件 本日下記の.JP経由でサイトにマルウェア感染事件が発生しました↓ q7gz.nori.jp 普通に亜アクセスしたら問題がなさそうですが… $ curl q7gz.nori.jp Hello, World! $ そして上記のURLを入れてみると… 綺麗にすると… ↑見た限りではちょっと書き方があやしいけど、google.geに転送するわけで問題無さそうですね。 なお、海外のIPからアクセスをすると…マルウェア感染URLに転送されます! マークされた所のURLはマルウェア感染URLですね(画像にはどんな種類かと書いてあります)、アクセスそのままで続けていくと「Reveton」というランサムウェアがダウンロードされてしまいます。これで見ると日本国内
*) For the english reader, please use the Google translation to comprehend the context details or you can go straight skimming the screenshots to grasp the idea before translating, this writing is meant to raise awareness of the threat to my fellow countrymen, Japanese friends who got a lot of attack by the covered evil code. *) 追加情報ですが、google,jsの分の細かいdecoding方法が別途内容ですので、アクセスはこちらです。英文ですので、理解が難しいなら
つい最近、新年のニュースの話題になって、「PrisonLocker/PowerLockerマルウェア」最新型の暗号機能が持っているランサムウェアの開発を発見し、海外のブログ(MalwareMustDie)に調査の結果を発表しました。 I don't think these are meant for a "common" purpose.. (pic) #PowerLocker pic.twitter.com/82WVo3rAl8 — @unixfreaxjp January 17, 2014 報告の内容はこちらとなります。その内容基づき現在亜米利加でマルウェア開発者(犯人)が捕まえたそうです。 捕まえた証拠↓ ニューズのリンクは下記となります、更新途中です↓ http://www.itmedia.co.jp/news/articles/1401/08/news038.html http:
Nantes, フランスで(2013年12月5日)BotConfコンファレンスを行い、25以上国からの160以上マルウェア研究者が集まりましたので、そこで私は0day.jp & MalwareMustDieの研究者としてしゃべりました。内容は「Kelihosボットネット」の件ですが、FULL-DISCLOSURE迄の情報を報告しました。例:犯人(又はKelihosボットネットのBotherder)のID迄ですね(^-^)v レポートはこちらとなります、ぜひ、ご覧下さい。プレセンテーションの情報はこちらです。 写真: 全世界のマルウェア研究者からのいい反応が頂きました。下記、証拠: Awesome presentation from @MalwareMustDie at #botconf . Very interesting facts about Kelihos #malware — ce
====================================================== 日本国内マルウェア感染情報 KELIHOSマルウェア(個人情報盗むボットネット) Reference: #MalwareMustDia OP #Kelihos Date: Thu Aug 15 15:44:54 JST 2013 前回の報告した感染事件:「1」「2」「3」の続き内容です。 感染のフロントエンド: #RedKit Exploit Kit、#CookieBomb、#TDS ====================================================== #Kelihos ボットネットの感染方法はリアルタイムで国内幹線されたIPを発見、pingでアップかどうか確認、そしてマルウェアをダウンロードチェックを実行、確認が出来たら一覧に入れる。証拠:
#OCJP-119:日本国内マルウェア感染緊急警告:現時点複数マシン/IP(現在合計:33件 + 最新28件)に「KELIHOS」マルウェアが散蒔かれています。直にブロックして、クリーンアップ対応をお願いします 緊急国内のマルウェア感染警告です。 下記の日本国内マシン、IPアドレスは: 117.74.46.13|Japan|TDNC Community Network Center Inc.|AS9354 218.110.111.80|Japan|SO-NET So-net Entertainment Corporation|AS2527 111.67.162.60|Japan|HANSHIN ITEC HANKYU HANSHIN CO.,LTD.|AS7524 210.148.165.67|Japan|IIJ Internet Initiative Japan Inc.|AS2497
#OCJP-118:国内ウェブ感染調査:「yusn・net」と「GLAZUNOV」エクスプロイトキットのZeroAccessボットネット感染 下記のサイト/URLは hxxp://yusn・net 国内にあるウェブサイトですね。このサイトは「GAZUNOV」エクスプロイトキットのマルウェア転送コードを発見しました。 ハッカーがFTP経由からそのサイトに入り、「WP Super Cache」古いバーションの環境がいじられて、色んなPHPファイルに転送コードが書かれて、IE(Firefox,Opera,Chrome,Safariではありません)とJavaが検索エンジンからのアクセスが来ると外にあるGLAZUNOV」エクスプロイトキットのサイトへ飛ばされて、Zero Access/MaxPlus/Sirerefのボットネット・トロイに感染されます。 本事件には.htaccess、php.ini、
次のページ
このページを最初にブックマークしてみませんか?
『0day.jp (ゼロデイ.JP)』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く