#author("2024-04-01T18:27:39+09:00","default:irrp","irrp") →[[セキュリティ関連]] →脆弱性関連 →セキュリティ関連ツール →リバースエンジニアリング #contents *話題 [#of556493] -[[「2024年も始まったしそろそろマルウェアの勉強を始めるか」と思っている人向けのマルウェア解析ツール入門話 - 切られたしっぽ>https://migawari-iv.hatenablog.com/entry/2024/01/08/220500]] 2024.1 -[[マルウェア解析の入門向け資格GREMの紹介【エンジニアに役立つ資格】 | IIJ Engineers Blog>https://eng-blog.iij.ad.jp/archives/19048]] 2023.5 -[[DoS攻撃/DDoS攻撃の違いとその対策方法>https://ascii.jp/elem/000/004/134/4134353/?rss]] 2023.4 -[[TikTokをアメリカ政府はなぜ禁止したのか…検索履歴やキー入力を収集する「危険アプリ」という事実 あらゆる情報が中国当局に送られている恐れ | PRESIDENT Online(プレジデントオンライン)>https://president.jp/articles/-/68120]] 2023.4 -[[Windows 11のUEFIセキュアブートをバイパスしてPCを乗っ取る恐るべきマルウェア「BlackLotus」が70万円弱で販売されていることが発覚 - GIGAZINE>https://gigazine.net/news/20230302-black-lotus-uefi-secure-boot/]] 2023.3 -[[マルウェア解析は IDAPython にシュッとやらせよう - NFLabs. エンジニアブログ>https://blog.nflabs.jp/entry/idapython]] 2022.12 -[[Excel Macro で拡散していた Qakbot 。ISO ファイルで拡散中 - ASECブログ>https://asec.ahnlab.com/jp/39580/]] 2022.10 -[[GitHubでホストされていた「Windowsのロゴ画像」にマルウェアを隠して感染させるという恐るべき手口が発覚 - GIGAZINE>https://gigazine.net/news/20221003-malware-inside-windows-logo-image/]] 2022.10 -[[三重大学学術機関リポジトリ研究教育成果コレクション パソコン内の怪しいマルウェアを見つけ出す方法>https://mie-u.repo.nii.ac.jp/?action=pages_view_main&active_action=repository_view_main_item_detail&item_id=13702&item_no=1&page_id=13&block_id=21]] 2020 -[[17JAN2017 - Abusing native Windows functions for shellcode execution>http://ropgadget.com/posts/abusing_win_functions.html]] 2022.7 -[[シェルコード - Wikipedia>https://ja.wikipedia.org/wiki/%E3%82%B7%E3%82%A7%E3%83%AB%E3%82%B3%E3%83%BC%E3%83%89]] 2022.7 -[[【悪用ダメ】簡単★パスワードクラッキング>https://qiita.com/schectman-hell/items/d1c0d7e4f1de30ccff30]] 2021.9 -[[マルウェア解析チュートリアル<マルウェア解析のはじめかた編>>https://www.mbsd.jp/research/20200910.html]] 2020.9 -[[遠隔操作ウイルス開発者のプロファイリング>http://d.hatena.ne.jp/c299792458/20130304/1362412084]] 2013.3.4 -[[遠隔操作ウイルスによる誤認逮捕で百家争鳴>http://www.atmarkit.co.jp/ait/articles/1211/14/news012.html]] 2012.11.14 -[[ウイルス事件 横浜で杜撰な捜査 新たな被害者の可能性も >http://portirland.blogspot.jp/2012/11/virus-jiken-yokohama-zusan-sousa-higaisha.html]] 2012.11.14 -[[犯行声明から1カ月 「真犯人」不気味な沈黙 検証続くも捜査に壁>http://sankei.jp.msn.com/affairs/news/121109/crm12110900460000-n1.htm]] 2012.11.9 -[[銀行3社にてブラウザの入力画面で現れる暗証番号入力ウィルスが絶賛拡散中|その対策方法>http://e0166.blog89.fc2.com/blog-entry-1074.html]] 2012.10.26 -[[「iesys.exe」の作者であり遠隔操作事件の真犯人からのメール全文が公開中、最大の問題点は何か?>http://gigazine.net/news/20121021-iesys-exe-mail/]] 2012.10.21 -[[掲示板のスレッド経由の遠隔操作で犯罪予告を行う「iesys.exe」の正体まとめ>http://gigazine.net/news/20121011-iesys-exe/]] 2012.10.11 -[[遠隔犯行予告ウイルスiesys.exeの恐ろしい挙動・チェック法>http://matome.naver.jp/odai/2134984539343893401]]2012.10.12 -[[7/9にネットが繋がらなくなるかも!事前にできるチェックと対策>http://matome.naver.jp/odai/2133775851635146001]] 2012.6.1 --マルウェア「DNS Changer」に感染している可能性について -[[リスクからひも解く標的型攻撃の対処策>http://itpro.nikkeibp.co.jp/article/COLUMN/20120502/394522/]] 2012.5 -[[はてなブックマークボタンのトラッキング問題で高木浩光先生が決別ツイートをするに至った経緯まとめ>http://matome.naver.jp/odai/2133131006928771201]] 2012.3.11 -[[Firesheepについて色々調べてみたよ。>http://togetter.com/li/63191]] 2010.12.5 -[[WinnyとかShareでごにょごにょしてComicView.exeを実行した人へ>http://anond.hatelabo.jp/20081213164147]] 2008.12.14 --URLに情報を埋め込んでおけばアクセスさせるだけでもお金になるのです。 -[[トレンドマイクロのWebサイトが改ざん、ウィルスを仕込まれる>http://pc.nikkeibp.co.jp/article/NEWS/20080312/296070/?ST=pc_news]] 2008.3.12 -[[マルウェアの80%はアンチウィルスソフトが効かない:http://gigazine.net/index.php?/news/comments/20060720_malware/]] -[[クライムウェアの現状>http://itpro.nikkeibp.co.jp/article/NEWS/20070208/261301/]] 2007.2.9 --伝統的なウイルスは,ほとんど姿を消してしまった。ウイルス対策ソフトが進歩した結果,ビギナーにとって攻撃を成功させるのが難しくなったからだ。その結果,攻撃などを試みるのが,ビジネスとして犯罪を行う連中にシフトした -[[Unicodeで拡張子を偽装された実行ファイルの防御方法>http://d.hatena.ne.jp/hasegawayosuke/20061222/p1]] *XZ Utilsバックドア埋め込み事件 [#n4ebc290] -[[xz/liblzma: Bash-stage Obfuscation Explained - gynvael.coldwind//vx.log>https://gynvael.coldwind.pl/?lang=en&id=782]] 2024.4 --exploitの技術的詳細の説明 -[[xzにバックドアが混入した件のまとめ #Security - Qiita>https://qiita.com/log0417/items/7dddf1669d49f3e298dc]] 2024.4 -[[「XZ Utils」にバックドア、オープンソースエコシステム全体の信頼を揺るがす事態に - 窓の杜>https://forest.watch.impress.co.jp/docs/news/1580604.html]] 2024.4 -[[Linux向け有名パッケージxzにsshバックドアできる脆弱性が埋め込まれた問題について調べる>https://zenn.dev/levtech/articles/1dda57cac26d78]] 2024.4 -[[xz-utilsのtarballに不正なコードが混入されていた件(backdoor) #Security - Qiita>https://qiita.com/phoepsilonix/items/eed3d82d89851f330aab]] 2024.4 -[[xzの脆弱性(バックドア埋め込み: Critical: CVE-2024-3094) - SIOS SECURITY BLOG>https://security.sios.jp/vulnerability/xz-security-vulnerability-20240330/]] 2024.4 -[[XZ Utilsの脆弱性 CVE-2024-3094 についてまとめてみた - piyolog>https://piyolog.hatenadiary.jp/entry/2024/04/01/035321]] 2024.4 -[[広く使用されている「xz」にssh接続を突破するバックドアが仕込まれていた事が判明。重大度はクリティカルでLinuxのほかmacOSにも影響 | ソフトアンテナ>https://softantenna.com/blog/xz-backdoor/]] 2024.3 *Amazon GuardDuty [#cb11d132] -[[Amazon GuardDuty、マルウェア保護はじめました。 – TechHarmony>https://blog.usize-tech.com/guardduty-malware-protection/]] 2022.8 -[[[神アップデート]GuardDutyがEC2やECSのマルウェア検知時のスキャンに対応したので実際にスキャンさせてみた #reinforce | DevelopersIO>https://dev.classmethod.jp/articles/guardduty-support-malware-protection/]] 2022.7 -[[[アップデート]GuardDutyが盗まれたEC2のクレデンシャルが別AWSアカウントで利用されたことを検知できるようになったので実際に試してついでにDetectiveで調査してみた | DevelopersIO>https://dev.classmethod.jp/articles/guardduty-detect-exfiltration-ec2-credentials-inside/]] 2022.1 *Emotet/XLM関連 [#i7b42052] →Excel関連 -[[なぜEmotetの脅威を軽視すべきでないのか―ランサムウェア犯罪グループの実像を知る>https://ascii.jp/elem/000/004/121/4121172/]] 2023.1 --現在のサイバー攻撃の多くは“犯罪ビジネス化”が進んでおり、高度にシステム化、分業化されたかたちで実行されている。ランサムウェア攻撃の場合、その犯罪エコシステムを構成するのは次のようなプレイヤーたちだ。 --・アクセスブローカー:被害者(ターゲット組織)への不正侵入を可能にするリモートアクセス権、認証情報を販売する --・RaaS(Ransomware as a Service):ランサムウェアそのものや開発ツール(ビルダー)をサービスとして販売する --・アフィリエイト:実際にランサムウェア攻撃を実行するサイバー犯罪者 -[[【脅威分析レポート】日本企業を狙うEmotet (エモテット) | BLOG | サイバーリーズン | EDR(次世代エンドポイントセキュリティ)>https://www.cybereason.co.jp/blog/malware/7680/]] 2022.3 -[[emotet(エモテット)iphone感染確認は?androidなどスマホも感染? | 令和の知恵袋>https://www.koregasiritai.com/emotet-iphone-android/]] 2022.2 --Emotetの仕組みからみて iPhoneやAndroidでの感染はありえない(ただし今後も無事である保証はない) -[[Emotet攻撃、日本が突出して狙われると仏セキュリティ企業が発表|サイバーセキュリティ.com>https://cybersecurity-jp.com/news/66795]] 2022.5 --国内の検出を事業規模別に分類すると全体の約6割以上を500人未満の企業が占めており、攻撃者は日本企業であれば中小企業だろうと攻撃の対象にしていると説明。業種別に分類すると情報・通信関係に対してやや顕著であるものの、全体としてはあらゆる業種を対象に攻撃が行われていると分析しました。 -[[Evolution of Excel 4.0 Macro Weaponization | Lastline Evolution of Excel 4.0 Macro Weaponization>https://www.lastline.com/labsblog/evolution-of-excel-4-0-macro-weaponization/]] 2020.7 -[[Publications | Outflank>https://outflank.nl/blog/2018/10/06/old-school-evil-excel-4-0-macros-xlm/]] 2018 -[[【情シス必見】マルウェア「Emotet」の感染検出ツールをバッチでダウンロードして実行 | ITエンジニアの備忘録的技術ブログ【仮】>https://www.depthbomb.net/?p=2631]] 2022.5 -[[マクロつきOfficeファイルに注意!EmotetとxlsmファイルとExcel4.0マクロ|Digital Arts Security Reports|デジタルアーツ株式会社>https://www.daj.jp/security_reports/220324_1/]] 2022.3 -[[JPCERT/CC、「EmoCheck」v2.2を公開 〜再流行中のマルウェア「Emotet」に警戒 - 窓の杜>https://forest.watch.impress.co.jp/docs/news/1405272.html]] 2022.5 -[[NICTに届いたEmotetへの感染を狙ったメール(2021年12月〜2022年2月) - NICTER Blog>https://blog.nicter.jp/2022/03/topic_emotet_2022/]] 2022.2 -[[64ビットの環境でExcel 4.0のマクロを使用する攻撃 | BLOG | サイバーリーズン | EDR(次世代エンドポイントセキュリティ)>https://www.cybereason.co.jp/blog/cyberattack/3598/]] 2019 *ランサムウェア [#le719107] -[[警察庁が言う“ノーウェアランサム”とは何か? 新たな攻撃が生まれた背景を探る(ITmedia エンタープライズ) - Yahoo!ニュース>https://news.yahoo.co.jp/articles/0450cdda2fdd2635b63b8fd73d55a8e656ed4f35]] 2023.10 -[[名古屋港のランサムウェア感染事件、港運協会らが詳細な経緯と今後の対応を報告 - INTERNET Watch>https://internet.watch.impress.co.jp/docs/news/1521097.html]] 2023.8 -[[無償のランサムウェア被害復旧ツールを当局がGithubで公開、裁判所システムなど全世界で3800台以上のサーバーが被害を受けた大規模攻撃に終止符か - GIGAZINE>https://gigazine.net/news/20230209-esxiargs-recover-ransomware-cisa/]] 2023.2 -[[How to Make a Ransomware with Python (Windows, Mac and Linux). - DEV Community 👩‍💻👨‍💻>https://dev.to/paulwababu/how-to-make-ransomware-with-python-windows-mac-and-linux-142g]] 2023.1 --[[GitHub - paulwababu/ransomware-python: A simple ransomware that encrypts folders and sends decryption key via email. Uses tkinter as the interface.>https://github.com/paulwababu/ransomware-python]] -[[Avastが無料でランサムウェア復号ソフトを配布 - GIGAZINE>https://gigazine.net/news/20230117-avast-ransomware-decryptor/]] 2023.1 --[[Decrypted: BianLian Ransomware - Avast Threat Labs>https://decoded.avast.io/threatresearch/decrypted-bianlian-ransomware/]] 2023.1 -[[本当に復旧できる? ランサムウェアからの回復で知っておくべきこと>https://ascii.jp/elem/000/004/090/4090192/]] 2022.5 -[[「WannaCry 2.0」の内部構造を紐解く | MBSD Blog>https://www.mbsd.jp/blog/20170518.html]] 2017 -[[流出した犯行マニュアルの衝撃、浮かび上がった最新ランサムウエア対策とは - 徹底検証!セキュリティ事...:日経クロステック Active>https://active.nikkeibp.co.jp/atcl/act/19/00324/011800004/]] 2022.1 *関連サイト [#jb77696f] -[[MalwareBazaar | Malware sample exchange>https://bazaar.abuse.ch/]] 2022 -[[GitHub - tkmru/awesome-linux-rootkits: a summary of linux rootkits published on GitHub>https://github.com/tkmru/awesome-linux-rootkits]] 2019 -[[GitHub - threatland/TL-TROJAN: A collection of source code for various RATs, Stealers, and other Trojans.>https://github.com/threatland/TL-TROJAN]] 2022 --The files contained in this repo are for research purposes only. They are provided as-is and have no guarantee of functionality. -[[GitHub - rootkit-io/awesome-malware-development: Organized list of my malware development resources>https://github.com/rootkit-io/awesome-malware-development]] 2022 -http://www.whatisthatfile.com/ *フィッシング [#rff0c93f] -[[攻撃者はいかにしてフィッシングサイトを隠すか?(インターンシップ体験記) - NTT Communications Engineers' Blog>https://engineers.ntt.com/entry/2023/10/05/085501]] 2023.10 -[[Dockerで始めるフィッシングキットの収集・分析 - Qiita>https://qiita.com/masaomi346/items/1a216b0cde17ca4be1ce]] 2022.1 -[[SenderIDやDomainKeysの解説とその問題点:http://www.atmarkit.co.jp/fsecurity/rensai/mailauth02/mailauth01.html]] -[[DomainKeysの解説@e-Words:http://e-words.jp/w/DomainKeys.html]] --フィッシング対策として有効と言われている技術。メールに電子署名をくっつけて送るようにする。 -[[本物と偽者のサイトを組み合わせるフィッシングの手口:http://www.atmarkit.co.jp/fsecurity/special/65phishing/phishing01.html]] -[[攻撃対象を特定する「パーソナライズド・フィシング」、米Cyotaが警告:http://nikkeibp.jp/wcs/leaf/CID/onair/jp/flash_rss/375381]] 2005.5.17 -[[巧妙になるフィッシングの手口,米国ではメールを信用できない状況に:http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20050512/160762/]] 2005.5.12 --米国ではフィッシングが“全盛" --メール・サービスを信用できないような状況になっている --フィッシングの手口が巧妙になり,フィッシング・サイトかどうかを手動で確認することが難しくなっている --アドレス・バー確認やSSL証明書の確認では100%安全とは言えない ---JavaScriptを使って,アドレス・バーの部分に偽のアドレスを表示させることが可能 ---ブラウザにXSS脆弱性があれば,本物のサイトのアドレス・バーと錠マークをブラウザに表示させて ブラウザ・ウインドウの部分だけに偽のコンテンツを表示させることが可能 *ブラクラ [#w2d9776d] -[[HDDをフォーマットするぶらくらまとめWiki>http://www13.atwiki.jp/burakura_hdd/pages/15.html]] 2007.12.31 *ワーム・ウィルス [#s09cf5de] -[[間違いだらけのGumblar対策>http://blog.f-secure.jp/archives/50334036.html]] 2010.1.12 -[[検出の難しいポリモーフィック型マルウエア「W32/Xpaj」 >http://itpro.nikkeibp.co.jp/article/COLUMN/20091018/339015/]] 2009.10.29 -[[SQL Serverを狙うSpybot>http://itpro.nikkeibp.co.jp/article/COLUMN/20090406/327832/]] 2009.4.8 -[[サイレント・バンカー解説by高木浩光>http://takagi-hiromitsu.jp/diary/20080307.html#p01]] 2008.3.8 --基本的に、フィッシングは、利用者がURLの確認を怠らないよう注意する以外に防御策はなく、マルウェアは、利用者がトロイの木馬を踏んでしまわないよう注意する以外に防御策はない。 -[[Virus Source Code Database>http://www.totallygeek.com/vscdb/]] -[[Polymorphic Codeの説明@Wikipedia:http://en.wikipedia.org/wiki/Polymorphic_code]] -[[SONY製CDのrootkit問題:http://japan.cnet.com/special/story/0,2000050158,20090811,00.htm]] 2005.11.15 --[[SONY CD rootkit問題の技術的解説:http://www.atmarkit.co.jp/fwin2k/insiderseye/20051109rootkit/rootkit_01.html]] --http://muumoo.jp/targetlog.shtml?20051118&0 -[[「シグニチャだけでは限界がある」と米シスコ・システムズのセキュリティ担当幹部:http://itpro.nikkeibp.co.jp/free/NC/NEWS/20050519/161206/]] --「ウイルスの感染力は強まる一方。パターン・ファイルやシグニチャをベースにした対策では間に合わなくなりつつある」 --「今後は、ビヘイビア・ベースのセキュリティ技術が重要性を増す」 --米シスコ・システムズは、ウイルスの侵入や不正アクセスをネットワーク装置が検知して 自動的に防御・駆除する技術体系「SDN(自己防衛型ネットワーク)」の一つ、 「Adaptive Threat Defence(ATD、適応型防御)」を今年2月に発表 --ATDとは、ウイルスの侵入やDoS攻撃などに対して それが未知のものであってもビヘイビア・ベースの技術を利用して防御する、という考え方 *スパイウェア [#qf4b0ba4] -[[「Windows 11はスパイウェアと化している」とMicrosoftのプライバシー侵害が指摘される - GIGAZINE>https://gigazine.net/news/20230210-windows-11-spyware/]] 2023.2 -[[AppLogあれこれ>http://z80a.info/archives/1005]] 2011.10.11 --ベンチャーだから何をしてもいいというわけではないのです。法律のグレーゾーンという訳でもなく、真っ黒です。ソフトウェアについて理解してないのでしょうか、このソフトが悪質なスパイウェアであり、犯罪行為であるという認識をもつこともできず、表面だけ見て発言しているのでしょうか。 -[[WGA spyware説:http://windowssecrets.com/comp/060615/#story1]] *Botnet [#uaa894df] -[[GitHub - threatland/TL-BOTS: A collection of source code for various botnets.>https://github.com/threatland/TL-BOTS]] 2019 --The files contained in this repo are for research purposes only. They are provided as-is and have no guarantee of functionality. -[[世界最大級のボットネット『クラーケン』公表、専門家は懐疑的>http://pc.nikkeibp.co.jp/article/NEWS/20080410/298709/?ST=pc_news]] 2008.4.11 -[[How to herd ur own botnet@googleキャッシュ:http://tinyurl.com/e856h]] -[[Botnetを飼ってみました:http://itpro.nikkeibp.co.jp/article/NEWS/20060426/236401/]] 2006.4.27 -[[企業を襲うボット:http://www.nikkeibp.co.jp/sj/special/122/index.html]] 2006.4.3 --[[後編:http://www.nikkeibp.co.jp/sj/special/123/]] *ハニーポット [#s3a868a7] -[[高機能ハニーポット(T-Pot 22.04)をさくらのクラウドに構築して攻撃を観測する | さくらのナレッジ>https://knowledge.sakura.ad.jp/35289/]] 2023.6 -[[ハニーポット is 何?実際に作って触ってみる 調査編 | SIOS Tech. Lab>https://tech-lab.sios.jp/archives/26602]] 2023.3 -[[vclusterとFalcoでハニーポットを構築する:エピソード1 | コンテナ・セキュリティ | Sysdigブログ | コンテナ・Kubernetes環境向けセキュリティ・モニタリング プラットフォーム>https://www.scsk.jp/sp/sysdig/blog/container_security/vclusterfalco1.html]] 2022.10 -[[ハニーポットをVirtual PCで構築する>http://itpro.nikkeibp.co.jp/free/NT/WinReadersOnly/20050713/2/]] 200507 -[[Honeynet Project:http://www.honeynet.org/index.html]] --オープンソースのハニーポットなど配布 --[[Know Your Enemy: Tracking Botnets:http://www.honeynet.org/papers/bots/]]