アメリカでは、4月15日の税務申告期限が迫っており、その界隈では慌ただしくなっているらしい。 そんな中、税務関連書類を検索する人を騙してRMMをインストールさせて、BYOVDでアンチウイルスをOFFにしてからRMMを通じた遠隔操作や認証情報収集なんてことを…

攻撃で使われたEDR Killerは90種類以上もあると。 その中の54種類はBYOVDベースっていうことなので、EDRにとってやはり脆弱なカーネルドライバが天敵なのはやっぱりって感じ。 7件はスクリプトベースっていう話だが、スクリプトベースで本当に止められる？ E…

攻撃者のツール事情に関して複数挙がっている記事を見つけてしまうと色々考えてしますシリーズ。 OSS/無償ツールと商用ツールとして特定できたものだけ、リストしている。 cloud.google.com OSS / 無償公開ツール ポストエクスプロイト/C2フレームワーク ト…

Code InterpreterでネットワークモードをSandboxにすると外部ネットワークアクセスはできないと説明があったらしい。 しかし、実際に外部のHTTPアクセスを試すとHTTP経由でアクセスは確認できなかったが、DNSリクエストを外部に行っていたことが確認された。…

メールセキュリティ製品やURLチェックサービスは、URLをチェックしてからユーザにアクセスさせるためにhttps://<チェックサービスURL>/?url=<対象のURL>というような形式のURLを作成する。 例えば、https://cloudstorage.exampleへのアクセスURLがメールで送…

InfoGuardの研究者により、Palo Alto Cortex XDRの検知ルールの中にグローバルホワイトリストが発見された。 そのリストから、:\\windows\\ccmcache\\がコマンドラインに含まれていると検査の対象から除外されることが発見された。 :\Windows\ccmcache\を何…

前提知識：オーバーフロー時にメモリで何が起きるか Step 1：EIP のオフセットを特定する テスト文字列を生成する pattern を送信してクラッシュを観察する オフセットを計算する オフセットを検証する Step 2：Bad Characters を特定する 完全なバイト列を…