Hunt.ioの研究者がTheGentlemanランサムウェアグループのIOCを確認していた際に、公開ディレクトリを発見した。 このサーバーには126ファイル（約140MB）が含まれ、ランサムウェア侵入の複数フェーズをカバーする構造化された攻撃ツールキットだった。 hunt.…

https://blueteamlabs.online/home/investigation/lintro-17165b66f0 シナリオ Google Chromeを装ったトロイの木馬の .deb パッケージを解析し、マルウェアの詳細・攻撃者の情報・永続化手法を明らかにする。 Q1) What is the Filesize of the trojan deb f…

Kali Linux 2026.1がリリースされました！ 今年はKali Linuxの前のBackTrackが20周年らしく、BackTrackの最後のバージョンBackTrack5の外観と操作感を踏襲した「BackTrackモード」が追加された。 あとは、いつも通りテーマが追加されたり、Kaliリポジトリに…

アメリカでは、4月15日の税務申告期限が迫っており、その界隈では慌ただしくなっているらしい。 そんな中、税務関連書類を検索する人を騙してRMMをインストールさせて、BYOVDでアンチウイルスをOFFにしてからRMMを通じた遠隔操作や認証情報収集なんてことを…

攻撃で使われたEDR Killerは90種類以上もあると。 その中の54種類はBYOVDベースっていうことなので、EDRにとってやはり脆弱なカーネルドライバが天敵なのはやっぱりって感じ。 7件はスクリプトベースっていう話だが、スクリプトベースで本当に止められる？ E…

攻撃者のツール事情に関して複数挙がっている記事を見つけてしまうと色々考えてしますシリーズ。 OSS/無償ツールと商用ツールとして特定できたものだけ、リストしている。 cloud.google.com OSS / 無償公開ツール ポストエクスプロイト/C2フレームワーク ト…

Code InterpreterでネットワークモードをSandboxにすると外部ネットワークアクセスはできないと説明があったらしい。 しかし、実際に外部のHTTPアクセスを試すとHTTP経由でアクセスは確認できなかったが、DNSリクエストを外部に行っていたことが確認された。…

メールセキュリティ製品やURLチェックサービスは、URLをチェックしてからユーザにアクセスさせるためにhttps://<チェックサービスURL>/?url=<対象のURL>というような形式のURLを作成する。 例えば、https://cloudstorage.exampleへのアクセスURLがメールで送…

InfoGuardの研究者により、Palo Alto Cortex XDRの検知ルールの中にグローバルホワイトリストが発見された。 そのリストから、:\\windows\\ccmcache\\がコマンドラインに含まれていると検査の対象から除外されることが発見された。 :\Windows\ccmcache\を何…

前提知識：オーバーフロー時にメモリで何が起きるか Step 1：EIP のオフセットを特定する テスト文字列を生成する pattern を送信してクラッシュを観察する オフセットを計算する オフセットを検証する Step 2：Bad Characters を特定する 完全なバイト列を…

シナリオ The North Pole is under attack. Santa's network has been breached, and a rogue daemon named Krampus is suspected. Krampus has been recruiting disgruntled elves on a forum, sharing a malicious tool designed to control Santa's syste…

ARTEとは？ 費用について 試験を受けた背景 試験当日の流れ 1時間半、何をしていたか 技術的な気づき 1. 認証と認可の層を意識する 2. サービス間の連携が攻撃経路になる 3. ロール名・リソース名は情報源 試験全体の感想 これからARTEを受ける人へ おわりに…

アンチウイルスソフトはzip,7zなどの圧縮ファイルを自動で展開して、中のファイルをスキャンする。 なので、基本的にはパスワードがかかっていなければ勝手に圧縮ファイルの中身もマルウェア検知してくれる。 しかし、圧縮ファイルのメタデータに記載されて…

単純に目を引く名前のEDR Killerだったので気になった。 www.aryaka.com BYOVD（Bring Your Own Vulnerable Driver）で使用されたドライバ BYOVDは脆弱なカーネルドライバを持ち込んで、読み込ませて使う。 そうして、カーネルレベルで操作を行うことでEDRと…

「CL-UNK-1068」の使用ツールセットを見て、何となく思ったことを書き起こしておこうと考えた。 これは、リアルなWebサーバ攻撃事例の覚え書き的なもの。 unit42.paloaltonetworks.com Webshellを使用した侵入 今回注目した記事では、Webshellを管理するよう…

概要 CorunaはCryptoWatersとも呼ばれる国家レベルの攻撃能力を備えたiOS脆弱性エクスプロイトツールキット。5つの完全なエクスプロイトチェーンと合計23のエクスプロイトを含み、iOS 13.0〜17.2.1の全iPhoneデバイスを攻撃対象とし、arm64・arm64eアーキテ…

Varonisの公開した記事では、microsoftのazcopyを使用してAzureのストレージにファイルをアップロードする情報持ち出し手法に関して記載されていた。 www.varonis.com そこで、他にも一般的に使用されるデータコピー/バックアップツールで悪用されているもの…

サポート詐欺(サポ詐欺)といえば「あなたのPCがウイルスに感染しています！」的な偽メッセージが出てきて、リモートで作業してくれる何者かにお金払っちゃうやつ。 今回はこのサポ詐欺でリモート操作の際に、C2サーバと通信するマルウェアをインストールした…

Group-IBの調査より、Googleの所有ドメインを使用したフィッシング攻撃が確認された。 使用されるドメインは、Google翻訳(Google Translate)に関係する*.translate.goog、Firebaseに関係する*.web.app. *.translate.googをメールやら改ざんサイトやらで送信…

Annexの研究者が悪意のある機能が含まれたChromeブラウザ拡張機能に関する調査内容を公開した。 この拡張機能では、1x1の透明なGIFの読み込みをトリガーとしてC2サーバから取得したペイロードを<img>のonloadで実行する。 静的解析で悪意がある部分を特定できなく…

度々奇抜なC2チャネルが話題に挙がるが、今回攻撃者からのコマンド運ぶのはUSBメモリ。 インターネットに繋がっているPCでUSBメモリにマルウェアを仕込み、攻撃者からのコマンドをUSBに保存。 インターネットに繋がっていないPCでUSB内のコマンドを実行し、…

Google Cloud系のAPIキーで公開前提のものがあり、以前は公開されていても問題無いとされていた。 以前から「本当に公開状態でも問題無いのか」という議論はあったようだ。デフォルトの権限が制限されていないキーであれば、他人がそのキーを使ってMaps API…

シナリオ Exorcise Black Energy 2 from Shadowbrook’s digital infrastructure by reverse-engineering the malware’s code. You must dismantle its hooks, identify its payload, and stop its command-and-control mechanisms to restore peace to the t…