Slapdash Safeguards

にわか仕込みのセキュリティ

パッと見で不正なショートカットかどうか分からないようにする手法があるらしい「lnk-it-up」

Windowsのショートカット(.lnk)のリンク先って見たら分かるんじゃんって思ってたけど、実はパッと見で分からくする方法があるんですね。 この画像は特に何もしていない通常状態。 大量の空白とかで埋めたり、.lnkに関わる様々なフラグを設定すると引数表示し…

CVE-2026-20841って本当にコレ?

Windowsメモ帳アプリのリモートコード実行の脆弱性と話題になっていたCVE-2026-20841 Windows Notepad App Remote Code Execution Vulnerability New CVE-2026-20841 PoCとされるものがgithubで公開されている。 githubより(https://github.com/BTtea/CVE-20…

本物のメールを使用してDMARCによる検証を回避することでフィッシングを行う「DKIMリプレイ攻撃」

PayPalやApple IDの請求メールを送り、そのメールを見た被害者が攻撃者に連絡を取ってしまうことで、正規のサポートに連絡を取ったかのように騙される。 DMARC検証があれば、攻撃者が所有していないドメインからメールを送った場合に弾かれる。 しかしながら…

攻撃者が扱う正規ツールをC2として使用する事例は「Velociraptor」がトレンド?

以前にもVelociraptorをC2として扱ったランサムウェア攻撃者の話題は扱った。 www.sdsg.moe 最近はランサムウェア、もしくはそれ以外の攻撃事例でもVelociraptorをC2として扱われた事例が増えているように思う。 今回取り上げる2026年2月8日Huntressのレポー…

Black BastaはランサムウェアにBYOVDによるEDR回避を導入

Symantecの調査により、最近のBlack BastaはランサムウェアにBYOVD機能を含んでいることが確認されたらしい。 www.security.com ランサムウェアを実行するために邪魔なAV系プロセスをキルするのはよくある。BYOVDも組み込んじゃうのは、あんまり聞かない。 …

ビジュアルノベルエンジン「Ren'Py」をローダとして使用する「RenEngine Loader」

Ren'Pyというビジュアルノベルエンジンがあるというのを初めて聞きました。恋愛ゲーム(Ren)とPythonをかけたものらしい。かの「ドキドキ文芸部!」もこれで作られたとのこと。 ja.renpy.org Steamとかで配信されているゲームにも使用されていて、オープンソー…

DNS TXTレコードでコマンドを配信するClickfix

やり方自体は新しいものでは無いが、Clickfixでも使われるようになったんだなぁ。 最近のClickfixは、コマンドを良い感じに分かりにくくするあらゆる方向で頑張っているイメージ。 We discovered the #KongTuke campaign using #DNS TXT records in its #Cli…