markdownのメモアプリとして有名なObsidian これをLoaderとして使用する事例が確認された。 手法としては、「Obsidianの拡張機能を使ってコマンド実行を行う」という単純な話。 vaultを開くだけで、意図せずコマンドが実行されてしまう。 www.elastic.co コ…

このPoCは教育および研究目的のみに使用してください。 これは、実際のマルウェアキャンペーンで既に観測されている既知の手法 （https://mwalkowski.com/post/bypassing-windows-11-defender-with-lolbin/） を実演するものです。 悪意のある目的で使用しな…

以前の記事を改めて見直して実装した話。 www.sdsg.moe 1. スプレッドシートをC2チャネルとして使うとはどういうことか 従来のC2とSaaS C2 従来のC2 SaaS C2 2. アーキテクチャ概要 GRIDTIDE 全体の流れ PoC 全体の流れ 3. GCPプロジェクトとGoogle Sheets A…

SEQRITEの研究者が低レイヤの操作が可能な正規ツールに関するまとめ記事を公開した。 よくよく見ると、全然正規ツールじゃなくてそもそも攻撃ツールだったり、ランサムウェア攻撃者が作ったプログラムなので全く公開されていないものも含まれている。(AIで適…

Hunt.ioの研究者がTheGentlemanランサムウェアグループのIOCを確認していた際に、公開ディレクトリを発見した。 このサーバーには126ファイル（約140MB）が含まれ、ランサムウェア侵入の複数フェーズをカバーする構造化された攻撃ツールキットだった。 hunt.…

https://blueteamlabs.online/home/investigation/lintro-17165b66f0 シナリオ Google Chromeを装ったトロイの木馬の .deb パッケージを解析し、マルウェアの詳細・攻撃者の情報・永続化手法を明らかにする。 Q1) What is the Filesize of the trojan deb f…

Kali Linux 2026.1がリリースされました！ 今年はKali Linuxの前のBackTrackが20周年らしく、BackTrackの最後のバージョンBackTrack5の外観と操作感を踏襲した「BackTrackモード」が追加された。 あとは、いつも通りテーマが追加されたり、Kaliリポジトリに…

アメリカでは、4月15日の税務申告期限が迫っており、その界隈では慌ただしくなっているらしい。 そんな中、税務関連書類を検索する人を騙してRMMをインストールさせて、BYOVDでアンチウイルスをOFFにしてからRMMを通じた遠隔操作や認証情報収集なんてことを…

攻撃で使われたEDR Killerは90種類以上もあると。 その中の54種類はBYOVDベースっていうことなので、EDRにとってやはり脆弱なカーネルドライバが天敵なのはやっぱりって感じ。 7件はスクリプトベースっていう話だが、スクリプトベースで本当に止められる？ E…

攻撃者のツール事情に関して複数挙がっている記事を見つけてしまうと色々考えてしますシリーズ。 OSS/無償ツールと商用ツールとして特定できたものだけ、リストしている。 cloud.google.com OSS / 無償公開ツール ポストエクスプロイト/C2フレームワーク ト…

Code InterpreterでネットワークモードをSandboxにすると外部ネットワークアクセスはできないと説明があったらしい。 しかし、実際に外部のHTTPアクセスを試すとHTTP経由でアクセスは確認できなかったが、DNSリクエストを外部に行っていたことが確認された。…

メールセキュリティ製品やURLチェックサービスは、URLをチェックしてからユーザにアクセスさせるためにhttps://<チェックサービスURL>/?url=<対象のURL>というような形式のURLを作成する。 例えば、https://cloudstorage.exampleへのアクセスURLがメールで送…

InfoGuardの研究者により、Palo Alto Cortex XDRの検知ルールの中にグローバルホワイトリストが発見された。 そのリストから、:\\windows\\ccmcache\\がコマンドラインに含まれていると検査の対象から除外されることが発見された。 :\Windows\ccmcache\を何…

前提知識：オーバーフロー時にメモリで何が起きるか Step 1：EIP のオフセットを特定する テスト文字列を生成する pattern を送信してクラッシュを観察する オフセットを計算する オフセットを検証する Step 2：Bad Characters を特定する 完全なバイト列を…

シナリオ The North Pole is under attack. Santa's network has been breached, and a rogue daemon named Krampus is suspected. Krampus has been recruiting disgruntled elves on a forum, sharing a malicious tool designed to control Santa's syste…

ARTEとは？ 費用について 試験を受けた背景 試験当日の流れ 1時間半、何をしていたか 技術的な気づき 1. 認証と認可の層を意識する 2. サービス間の連携が攻撃経路になる 3. ロール名・リソース名は情報源 試験全体の感想 これからARTEを受ける人へ おわりに…

アンチウイルスソフトはzip,7zなどの圧縮ファイルを自動で展開して、中のファイルをスキャンする。 なので、基本的にはパスワードがかかっていなければ勝手に圧縮ファイルの中身もマルウェア検知してくれる。 しかし、圧縮ファイルのメタデータに記載されて…

単純に目を引く名前のEDR Killerだったので気になった。 www.aryaka.com BYOVD（Bring Your Own Vulnerable Driver）で使用されたドライバ BYOVDは脆弱なカーネルドライバを持ち込んで、読み込ませて使う。 そうして、カーネルレベルで操作を行うことでEDRと…

「CL-UNK-1068」の使用ツールセットを見て、何となく思ったことを書き起こしておこうと考えた。 これは、リアルなWebサーバ攻撃事例の覚え書き的なもの。 unit42.paloaltonetworks.com Webshellを使用した侵入 今回注目した記事では、Webshellを管理するよう…

概要 CorunaはCryptoWatersとも呼ばれる国家レベルの攻撃能力を備えたiOS脆弱性エクスプロイトツールキット。5つの完全なエクスプロイトチェーンと合計23のエクスプロイトを含み、iOS 13.0〜17.2.1の全iPhoneデバイスを攻撃対象とし、arm64・arm64eアーキテ…

Varonisの公開した記事では、microsoftのazcopyを使用してAzureのストレージにファイルをアップロードする情報持ち出し手法に関して記載されていた。 www.varonis.com そこで、他にも一般的に使用されるデータコピー/バックアップツールで悪用されているもの…

サポート詐欺(サポ詐欺)といえば「あなたのPCがウイルスに感染しています！」的な偽メッセージが出てきて、リモートで作業してくれる何者かにお金払っちゃうやつ。 今回はこのサポ詐欺でリモート操作の際に、C2サーバと通信するマルウェアをインストールした…

Group-IBの調査より、Googleの所有ドメインを使用したフィッシング攻撃が確認された。 使用されるドメインは、Google翻訳(Google Translate)に関係する*.translate.goog、Firebaseに関係する*.web.app. *.translate.googをメールやら改ざんサイトやらで送信…

Annexの研究者が悪意のある機能が含まれたChromeブラウザ拡張機能に関する調査内容を公開した。 この拡張機能では、1x1の透明なGIFの読み込みをトリガーとしてC2サーバから取得したペイロードを<img>のonloadで実行する。 静的解析で悪意がある部分を特定できなく…

度々奇抜なC2チャネルが話題に挙がるが、今回攻撃者からのコマンド運ぶのはUSBメモリ。 インターネットに繋がっているPCでUSBメモリにマルウェアを仕込み、攻撃者からのコマンドをUSBに保存。 インターネットに繋がっていないPCでUSB内のコマンドを実行し、…

Google Cloud系のAPIキーで公開前提のものがあり、以前は公開されていても問題無いとされていた。 以前から「本当に公開状態でも問題無いのか」という議論はあったようだ。デフォルトの権限が制限されていないキーであれば、他人がそのキーを使ってMaps API…

シナリオ Exorcise Black Energy 2 from Shadowbrook’s digital infrastructure by reverse-engineering the malware’s code. You must dismantle its hooks, identify its payload, and stop its command-and-control mechanisms to restore peace to the t…

XDR系製品には、何かしら異常が確認された端末に対してリモートで任意のコマンドが実行できるようなライブレスポンスと言われる類の機能がある。 CrowdStrike FalconのReal Time Response、SentinelOneのFull Remote Shell、 Microsoft Defender for Endpoin…

正直、Googleスプレッドシートをマルウェアへの命令や実行結果取得に使うのは、正規サービスの悪用の中ではネタ枠だと思っていた。 githubでGoogleスプレッドシートをC2として使うツールは公開されているので、どこかでは使われているんだろうなぁとは認識し…

新しいアカウントのパスワード考えるのめんどくさいなぁ。 そうだAIに良いパスワード作ってもらおう！ というのはダメかもしれない。 例えば「パスワードを生成して」と頼むと、アルファベット大文字、小文字、数字、特殊文字を含む16文字を生成し、一見する…