涔愯儢浠ｈ喘鍏嶄唬鐞嗙増

by¨翠版穷践

QuickPost: さらなる橙络を徒炊させるMirai Botnetの苟封インフラ讨

2016钳11奉29泣13:40

ツイ〖ト

hiroki_iwa1

オフィシャルコメント

by¨翠版穷践

Mirai IoT Botnet に缄を裁えたと夸卢されるマルウェアが厦玛に刁っています。
苟封を减けた狠のログやマルウェアの浮挛豺老などから、Miraiのソ〖スコ〖ドを猖陇し、Metasploit moduleを寥み哈んだものとみられています。
すぐに含塑弄な滦炳ができるわけではありませんが、IoT怠达を碍脱した苟封が塑呈步してきたなぁ、といった磅据がありますね。

　∈徊雇∷

また、これらの瓢きに秋贾を齿けそうなのが、ダ〖クウェブでのレンタルBotnetサ〖ビス瓢きです。笆涟からこれらのサ〖ビスは澄千はされていましたが、海搀の办凤でより客丹∈々∷がでるかもしれません。そうなりますと、办忍弄なところではDDoS苟封による都趋乖百の笼裁などが推白に鳞咙ができますので、糠たなサイバ〖ギャングらが糠たに判眷するのでしょう。サイバ〖鄂粗柒の都耙が肌洛へ败り恃わっていることをヒシヒシと炊じられますね。

しばらく誊が违せない都耙であるとともに、苟封を减けた狠の滦炳を猖めて雇えさせられる办凤であるように蛔います。

ではでは。

サイバ〖鄂粗も庙誊のリオ皋呜

2016钳08奉04泣11:00

ツイ〖ト

hiroki_iwa1

オフィシャルコメント

by¨翠版穷践

リオ皋呜ですが倡柴及を汤泣に沟え、钱を掠びてきていますね。
ブラジル∈というより祁势∷といったら、サイバ〖热横が驴いこともあるせいか、サイバ〖鄂粗での拦り惧がりも改客弄には庙誊しています。
◆海のところ、蕊巢鼠桂などは泼に部もありませんがˇˇˇ

こぢんまりとは、瓢きが叫てきているようです。
OpR10

苟封としては、こちらのDDoSツ〖ルの蝗脱を钙びかけていました。∈附哼、猴近貉み∷
筛弄は皋呜给及ペ〖ジではなく、蜡绍废のサイトのようです。

ハクティビズムによるものが素どではないかと蛔いますが、瓢羹が丹になるところです。
◆泣塑は柒痴猖陇による逼读が、9.18でどの镍刨でるかが厩爬かもしれませんね。。。

督蹋考いベトナム挂鄂などへのサイバ〖苟封鼠苹

2016钳08奉01泣13:00

ツイ〖ト

hiroki_iwa1

オフィシャルコメント

by¨翠版穷践

面柜のハクティビストがベトナム鄂沽のウェブサイトを猖汊したとの鼠苹がありました。驶せて、ホ〖チミン辉とハノイの鄂沽のフライト攫鼠山绩茶烫とサウンドシステムが刊巢をうけ、41它客笆惧の改客攫鼠も类艰されたといいます。类艰されたと夸卢されるデ〖タは、贷にウェブ惧で给倡されていることが澄千されていることから、デ〖タの柒推の篮汉や祸轮の箭芦に羹け簇犯荚の伏炭な滦炳が鲁いていると蛔われます。

徊雇URL
http://www3.nhk.or.jp/news/html/20160730/k10010614641000.html
http://www.yomiuri.co.jp/world/20160731-OYT1T50004.html
http://www.bbc.com/news/world-asia-36927674
http://tuoitrenews.vn/society/36243/alleged-chinese-hackers-compromise-hanoi-airport-system-vietnam-airlines-website

海搀苟封したグル〖プは1937CNであり、ハクティビストとして梦られています。册殿に、泣塑に滦しても册殿に9.18の簇犯で苟封していますので、肌のような猖汊茶咙を誊にした数もいるのではないでしょうか。

さて、塑凤で润撅に督蹋考いのは、奶撅ウェブサイトの猖汊を肩な宠瓢としていた揉らが攫鼠类艰を乖ったとされる爬です。海搀猖汊蕊巢があったウェブサイトは挂鄂柴家だけではありません。と、いうよりも撅泣孩から苟封を减けているような觉斗です。
この收を雇胃しますと、海搀は汤らかに筛弄に滦する苟封を动步しています。その秦肥祸攫は梦る统もありませんが、面柜ハクティビストの海稿の瓢羹が丹になるところです。

泣塑においても戮客祸ではないようです。揉らは泣塑やインドに滦しても焚桂をしていることから、蜡迹や柜狠攫廓によっては苟封が动まることが徒鳞されます。
海搀の凤を僻まえますと、その滦据として蛤奶怠簇などの家柴インフラに簇犯する寥骏への苟封が乖なわれても稍蛔的ではない觉斗といえそうです。
2020钳まで警し箕粗があるように炊じますが、その涟に蜡迹弄秦肥に燃うサイバ〖苟封が枫しくなってくるかもしれません。揉らの瓢羹から誊が违せませんね。

∈输颅∷
类艰されたとされるデ〖タは、肌の柒推です。サイバ〖に嘎らず、なりすまし霹のリスクが鳞年されますので、蕊巢に柳われた数は办炳の焚颤が涩妥と蛔われます。

ID_NUMBER,FIRST_NAME,MIDDLE_INITIALS,SURNAME,DOB1,GENDER,
CREATE_DATE,EMBOSSED_NAME,STATUS_CODE,PREFERRED_LANGUAGE
,NAMING_CONVENTION,TITLE,SALUTATION,ADDITIONAL_TEXT,
BUS_COMPANY_NAME,INSTRUCTION,STREET_FREE_TEXT,ADDRESS_2,
ADDRESS_3,CITY_NAME,STATE_PROVINCE_NAME,POSTAL_CODE,COUNTRY_CODE,
ENROLLMENT_DATE,TIER,TIER_START_DATE,TIER_ENDS_DATE,NATIONALITY,
LIFE_AMOUNT,POINTS_EXP_DATE,POINTS_EXP_AMOUNT,
POINTS_AMOUNT,TMBQPER_AMOUNT,TMBQPER_START_DATE,
TMBQPER_END_DATE,TMBQPER_SEGMENTS,COUNTRY,NATIONALITY_CODE,
PASSWORD,EMAIL_ADDRESS,

底」に澄千、虽め哈みオブジェクトの碍脱した苟封

2016钳05奉12泣08:30

ツイ〖ト

hiroki_iwa1

オフィシャルコメント

by¨翠版穷践

３奉孩から虽め哈みオブジェクトを碍脱した苟封メ〖ルをちらほら斧かけます。
Outlookユ〖ザを晾った苟封と夸卢され、Outlook 2010より概いバ〖ジョンなどでは藕烧ファイルのコピ〖をそのまま瘦赂することができません。ドラッグ□ドロップでは、刀刘アイコンの茶咙ファイルのみが瘦赂されることになります。そのため、筛弄ユ〖ザはファイルの柒推を澄千するためについクリックしてしまうようです。

なお、Outlook 2013からのバ〖ジョンでは虽め哈まれたオブジェクトのコピ〖を瘦赂することができます。艰り叫してみると、おなじみの∈々∷ドキュメントファイルを刘った悸乖ファイルであることがわかります。

藕烧ファイル1

ただ、虽め哈みオブジェクトであるためか笺闯觉斗が佰なります。EXEファイルでは黎片にあるはずのMZシグネチャが面丙烧夺に澄千できます。その惧婶には虽め哈んだドキュメントファイルのパスが淡揭されています。つまり、帽姐にファイルシグネチャのみでファイルの硷侍を冉年し、豺老の悸乖铜痰を疯年している梧のセキュリティツ〖ルでは悸乖ファイルであることが千急できず、澈碰メ〖ルを斧屁してしまう材墙拉があります。
◆附哼、そのような澜墒があるかは踏澄千です。牢あったようなˇˇˇ。

虽め哈みオブジェクトを网脱した苟封は笆涟から赂哼しているものですが、APTで网脱されたものは底しぶりに斧ましたので鼠桂させて暮きました。家柒のサイバ〖セキュリティ繁锡ˇ遍浆や芳券宠瓢に蝗ってみてはいかがでしょうか。

PowerShellを碍脱したマルウェアが靳」に笼裁の徒炊—々

2016钳03奉10泣09:00

ツイ〖ト

hiroki_iwa1

オフィシャルコメント

by¨翠版穷践

刊掐稿にPowerShellを碍脱する祸毋が驴く使かれるようになりましたが、マルウェアの芹流∈メ〖ル、ウェブ沸统∷の狠にも网脱されているケ〖スが叫てきています。
まだ、驴くは澄千できていませんが、苟封荚にとって铜脱であることを雇胃しますと、靳」に笼裁するものと徒鳞されます。
附哼のところ、その泼拉惧のせいかウイルス滦忽ソフトによる浮梦唯は帅しくありません。

布哭のケ〖スでは、ワ〖ドファイルを刘ったショ〖トカットファイルに嘿供が卉されたもので、PowerShellを网脱して嘲婶の碍拉サイトからマルウェアをダウンロ〖ドする慌寥みになっています。

その戮では、XLSファイルにPowerShellが虽め哈まれているものを澄千しています。
Windows 7 から筛洁烹很されているPowerShellは络恃守网な橙磨材墙なシェルです。しかし、それ肝に碍脱も推白である祸は鳞咙に岂くありません。
その爬を雇胃してかはわかりませんが、スクリプトˇファイル∈.ps1橙磨灰∷の悸乖はWindowsの筛洁肋年では扩嘎されています。
しかし、奥看はできません。悸は、笆涟から贷に搀闰忽は驴眶鼠桂されています。これらの附觉に凑みますと、海稿を斧盔えての滦忽を浮皮しておきたいところです。

徊雇URL:
15 Ways to Bypass the PowerShell Execution Policy
https://blog.netspi.com/15-ways-to-bypass-the-powershell-execution-policy/

Exploitコ〖ドは妥りませんか々扒辉眷からの卿哈みにご庙罢

2015钳12奉21泣09:00

ツイ〖ト

hiroki_iwa1

オフィシャルコメント

by¨翠版穷践

2020钳に澎叠オリンピックˇパラリンピック倡号が疯年し、泣塑におけるサイバ〖苟封滦忽も庙誊されています。そんな面、长嘲のセキュリティベンダ〖は泣塑への卿哈みに迢弹になっています。
そんな觉斗を梦ってか梦らでか扒辉眷でのセキュリティベンダ〖∈々∷も、泣塑のセキュリティ簇犯荚へ卿哈みを幌めているようです。
その滦据はサイバ〖热横荚らへの卿倾だけでなく、セキュリティ甫垫荚も滦据としています。苟封荚は绅达が笼えますし、セキュリティ甫垫荚もしくは么碰荚∈CSIRTなど∷は滦忽へ宠脱が材墙な攫鼠を评ることになりますので、どちらも杠狄滦据となるのでしょう。
その洛山弄のものがExploitコ〖ドを胺うセキュリティ舶さんです。毋えば、肌のようなメ〖ルで艰り苞きが幌まります。

疽拆しているExploitコ〖ドは侍として、このメ〖ルは办婶のセキュリティ甫垫荚や么碰荚が簇看を苞く柒推となっています。恫らく、淡很のものを卿るつもりではないのだと蛔います。
部奶かメ〖ルをやり艰りし、胺っている睛墒やメ〖ルの柒推を另圭弄に冉们すると、どうも揉は戮で胺っている睛墒を啪卿しているようです。∈企肌洛妄殴とは般いそうでした。∷
ちなみに、そんな揉によればオススメは Flash Player と MS Office Word ∈2003 - 2013∷とのこと。
候海のサイバ〖苟封饭羹に凑みますと、このあたりがオススメというのも瘅けます。
もっとも、どの镍刨慨脱するのかは侍の啼玛ですが。

サイバ〖苟封荚と甫垫荚の豆粗で胺われる攫鼠には、刨」督蹋考いものがあります。しかし、その驴くは慨完刨の冉们に鹅胃することが驴いことも祸悸です。
このような觉斗の面、恰部に慨完刨の光いものを联侍し宠脱していけるかが海稿の泣塑のサイバ〖セキュリティ滦忽のポイントとなりそうです。

海钳の9.18サイバ〖苟封は琅かだった々

2015钳09奉20泣06:00

ツイ〖ト

hiroki_iwa1

オフィシャルコメント

by¨翠版穷践

9奉といえば、18泣の面柜からのサイバ〖苟封が髓钳贡毋のイベントです。しかし、海钳は琅かなもので、泼に誊惟ったウェブ猖汊やDDoSなどの苟封は澄千できていません。
◆讳の囱卢ポイントで澄千できていないだけかもしれませんがˇˇˇ。

なお、戮柜のウェブサイトは里稿70钳晚みでの猖汊蕊巢が驴眶叫ています。

柜柒において9.18に簇犯した蕊巢が澄千できなかった妥傍として、海钳は木夺に眺柜徊且や理痴紧喷などの蜡迹弄妥燎の动い鼠苹がなかったことが刁げられるかもしれません。
なお、この蜡迹弄秦肥の囱爬では毋钳9.18サイバ〖苟封を乖っている办婶の苟封グル〖プが、15泣に奥婶俭陵が泣ˇベトナム俭蔷柴锰を乖ったことに滦して瓤炳しています。

苟封捡惠としては祁シナ长の焚洒を毁辩するために戒浑隶や戒浑您を丁涂する数克を疯めたことの滦して湿拷したいようです。
◆こちらも络惮滔猖汊といったものではありません。

ここ呵夺の苟封饭羹をみますとイベント弄なサイバ〖苟封は蜡迹弄なトリガ〖がなければ、络惮滔な苟封は乖われていない磅据があります。
しかし、この缄のイベント涟は苟封荚らがチャット惧で苟封に簇する的侠を乖っていることから、链く苟封が痰いとは咐い磊れません。
泼にイベント弄苟封はDDoSのような办封涩沪弄なものも徒鳞されるため、滦忽洁洒をしないわけにもいかないのが呛ましいところです。

泣塑柜柒においては丸钳のサミット、2019钳のラグビ〖W钦、2020钳のオリンピックなどのビックイベントが沟えています。その逼读がどの镍刨あるかは稍汤ですが、海稿弊」のサイバ〖苟封の笼裁が徒鳞されます。その罢蹋では、9.18サイバ〖苟封は遍浆としても宠脱できますので髓钳しっかりと滦炳していくことが脚妥になると蛔います。
たとえ部も痰くても攫鼠鼎铜の先寥みやエスカレ〖ションフロ〖の缄界などの浩澄千ができますので、紊い怠柴かと蛔います。
と、いうことで丸钳も络惮滔苟封は痰いかもしれませんが、滦忽洁洒のひとつとして滦炳しては恰部でしょうか。

丹になるオ〖ルインワンˇクライムウェア≈DiamondFox∽

2015钳07奉30泣07:30

ツイ〖ト

hiroki_iwa1

オフィシャルコメント

by¨翠版穷践

攫鼠类艰を誊弄としたボット∩DiamondFox∩が、クレジットカ〖ド攫鼠を晾う热横荚らの面で厦玛のようです。
∈いろいろな罢蹋でˇˇˇ∷

　ⅷマニュアルより却胯

傅」、攫鼠类艰を誊弄としたクライムウェアであることから、千沮攫鼠やクレジットカ〖ド戎规霹を类艰するための怠墙が润撅に郊悸していることが泼魔です。

Browser Password Stealer
Instant Messaging Grabber
KEYLOGGER
Point-Of-Sales Grabber∈RAM Scraper∷
EMAIL Grabber
FTP Password Stealer

面でも怠墙烫で督蹋考いのは、

Bitcoin Wallet Stealer

を铜していることで、杠狄霖を垛突热横グル〖プにタ〖ゲットを故っていることが碑えます。

また、DDoS怠墙∈HTTP flood / UDP flood∷もあり、都趋脱と夸卢されます。
◆DD4BCのケ〖スのような网脱を鳞年。

こういった垛连誊弄のクライムウェアは笆涟から赂哼していましたが、ここまで驴怠墙なものは素ど斧かけたことはありませんでした。推白に徒鳞される都耙は、办骆の眉琐から千沮攫鼠の戮に簿鳞奶策やカ〖ド攫鼠など含验ぎ类艰する缄庚が玻乖するかもしれない、ということです。

泼にメモリに滦しての怠墙を铜している爬においては、海稿の乖く琐が恫ろしい嘎りです。
クライムウェアの碍脱はこれからも笼裁するとみています。これらが泣塑柜柒のサ〖ビス霹に、いつ滦炳してくるかが厩爬になってくるのではないでしょうか。
部かUG辉眷に瓢きがありましたら鲁きを今きたいと蛔います。

ではでは。

ランサムウェアの泰かな萎乖の秦肥

2015钳05奉29泣08:30

ツイ〖ト

hiroki_iwa1

オフィシャルコメント

by¨翠版穷践

呵夺、ランサムウェアに簇息する鼠桂が鲁いています。讳の件收でも炊厉荚がでる幌琐です。
ランサムウェアといえば、警し涟まで肩に毖胳、ロシア胳拂のユ〖ザを晾ったものでした。しかし、夺钳は泣塑胳滦炳したものが判眷するなど、热横荚グル〖プは坤肠面から垛连を船き惧げている滔屯です。
このようなランサムウェアを碍脱した热横の萎乖の秦肥には、いくつか妄统が雇えられますが、ひとつはUG辉眷に簇息睛墒やサ〖ビスが萎奶し幌めたことが刁げられます。

毋１∷
布哭はカスタムを乖うための瓷妄荚茶烫烧きでランサムウェアを卿倾している毋です。山绩茶烫霹をカスタマイズが材墙です。擦呈もリ〖ズナブルですので、すでに倾い缄がついているようです

毋２∷
ランサムウェア栏喇サ〖ビスが判眷しています。蝗い数は词帽で、慷り哈んで蹄いたい垛驰∈势柜ドル∷や、恫冲陵缄の叹涟霹を掐蜗するだけでオリジナルのランサムウェアが栏喇することができます。∈src橙磨灰∷
マルウェア极挛はCryptoLockerとよく击た瓢侯∈筛弄眉琐惧のファイルの芭规步∷をしますが、蕊巢荚への觉斗棱汤霹が素どありません。
その罢蹋では、サ〖ビス墒剂は光いとは咐えないレベルです。
◆F-Secure での浮叫は澄千しています。

これらのマルウェアを碍脱した恫冲ビジネスは、谎妨を恃え海稿ますます笼裁すると雇えています。スマ〖トデバイスを晾ったものも判眷しており、筛弄デバイスのシフトも徒鳞されます。もしかすると、オレオレ壕到や慷り哈め壕到のスマ〖トフォン惹霹が判眷するかもしれません。
◆毋えば、硼んだSNSアカウントにより咳柒になりすますなど。
その爬では、弓い认跋での焚颤が涩妥になってくるものと蛔われます。泼に附哼慷り哈め壕到霹の筛弄となっている坤洛や笺钳霖に滦しては、浇尸な芳券が涩妥になるのではないでしょうか。

ちなみに、附哼マルチ咐胳滦炳のものは、サポ〖ト岭庚に泣塑胳で息晚をしても手慨はありません。
蕊巢ユ〖ザを斧かけましたら、
ˇ疯して垛连や排灰マネ〖を慷り哈まない
ˇ投瞥黎のサイトに肋弥されている牲规サ〖ビス∈ちゃんと瓢侯します∷を网脱しない
∈怠腮攫鼠を崔む度坛ファイル霹を捏丁することになるため∷
などなど兜えてあげてくださいね。

UG辉眷と阐かしのVBA碍脱の萎乖で蛔うこと

2015钳04奉30泣23:59

ツイ〖ト

hiroki_iwa1

オフィシャルコメント

by¨翠版穷践

候钳よりVBAを碍脱した苟封鼠桂が陵肌いでいます。2奉にSANS ISCからも鼠桂されていますし、Dridex Banking Trojan のような苟封も鼠桂されています。
◆碰介はVBAの碍脱に滦して阐かしさを炊じていました。
办箕洛涟の觉斗との般いのひとつは、苟封箕のソ〖シャルエンジニアリング弄な妥燎を动步したことが刁げられます。毋えば、マクロを铜跟步しなければ矢鞠塑矢が避枉できないようにするなどです。

このVBAを碍脱するトレンドは、アンダ〖グラウンド辉眷においても澄千できます。
附哼、剩眶のサイバ〖热横荚羹けのサ〖ビスプロバイダ〖∈々∷が澄千されており、ほとんどがマクロに滦炳しているようです。
◆もっとも、ちゃんと艰苞が喇惟するのかは稍汤ですが。

　哭　苟封コ〖ド栏喇サ〖ビス毋

腆３钳涟孩と淡脖していますが、マルウェア倡券荚コミュニティ粗において、VBSによるマルウェア倡券の巴完が淡很された箕袋がありました。恫らく、その孩からVBSやVBAといったエンコ〖ド材墙な咐胳による碍拉コ〖ド倡券の见妥が光まってきたのではないでしょうか。そして、附哼は办年の辉眷が叫丸てきたのかもしれません。
この收の觉斗は碍拉コ〖ドにも山れており、VBAがダウンロ〖ドする簇息ファイルなどは润撅に贵击しているものが驴く澄千されています。毋えば、布哭の眷圭は办婶のパラメ〖タなどが恃わっているだけのものです。
◆エンコ〖ドはいずれもbase64を网脱。
つまり、票办のツ〖ルもしくはサ〖ビスを网脱して侯喇したものと夸卢されます。

贷に鼠桂された碍拉コ〖ドだけでも剩眶硷梧あり、链てへの滦忽は面」裹の擂れる侯度となります。
また、骄丸よりも苟封缄庚は剩花步しているため、帽办のセキュリティソフトウェアだけで浮叫することも岂しい觉斗です。そういった罢蹋では、屯」な囱爬から浮梦を活みる涩妥があるといえます。
ちなみに、迫极でIOCなどのル〖ルを淡揭する眷圭は、肌の矢机误の寥み圭わせが蝗えそうです。

ⅲダウンロ〖ド怠墙をYaraなどで浮叫する眷圭∈毋∷
    strings:
        $a = "VBA"
        $b = "Root Entry"
        $c = "workbook_open" nocase
        $d = "GET"
        $e = "XMLHTTP" nocase
        $f = "WinHttpRequest" nocase
        $g = "adodb.stream" nocase

    condition:
        $a and $b and $c and ($d or $e or $f or $g)

◆面庞染眉な妨での淡很で恫教ですが、蝗いやすい妨にしてご宠脱ください∈拘∷

なお、讳斧ですがVBAやVBSの碍脱は幻く鲁くものと夸弧しています。と咐いますのも、いずれも蕊巢鼠桂が负る名しが斧えないことに裁え、贷梦の苟封ツ〖ルの倡券が费鲁されているためです。
いずれも碍拉コ〖ドの倡券において极统刨が光く、骄丸のセキュリティ滦忽に滦して嚼起に滦炳材墙であることが泼魔です。そういった罢蹋では、しばらくイタチごっこの觉斗となるのではないでしょうか。
夺い经丸、これらの草玛も豺疯する泣が丸ると蛔います。それまではIOCをはじめとした都耙攫鼠を宠かすためのフレ〖ムワ〖クを侯ることが黎疯かもしれません。附哼、坤肠ではこれらの艰寥み∈STIXなど∷がはじまっています。柜柒においてもそろそろ瓢き叫す孩かもしれません。
その狠は困润ご定蜗暮き、都耙攫鼠など鼎铜暮けると宫いです。

JVNVU#92002857とGoogle稍赖沮汤今祸捌のメモ

2015钳03奉31泣18:30

ツイ〖ト

hiroki_iwa1

オフィシャルコメント

by¨翠版穷践

しばしば聋ぎになる沮汤今、千沮渡簇息の祸捌ですが、黎降より蹭かに拦り惧がってますね。
海降はJVNVU#92002857の啼玛。黎降はGoogleがブログで鼠桂した啼玛についてです。

涟荚はJVNの鼠桂によれば、

剩眶の千沮渡において、沮汤今券乖箕の澄千が≈泼年のメ〖ルアドレスでのやりとりが材墙であること∽のみで乖われています。これにより、簇息するドメインの瓷妄とは痰簇犯な妈话荚によって SSL 沮汤今が艰评され、クライアントのソフトウェア惧で焚桂が券せられることなく HTTPS スプ〖フィングが乖われる材墙拉があります。

とのことです。つまり、鳞年都耙としてはフィッシングサイトが惟ち惧げられたり、HTTPS奶慨の说减霹の材墙拉があるということになります。逼读のあるシステムは、CERT/CCのVendor Informationを徊雇にしてください、とのことです。まだ、蕊巢攫鼠は吉にしていませんが、ある镍刨の逼读はあるかもしれませんね。

また、稿荚については、Googleが剩眶のGoogleドメインの稍赖なデジタル沮汤今を券斧しブロックしたことをブログで鼠桂しています。淡祸によれば、この沮汤今はMCS Holdingの疥铜する面粗千沮渡が券乖しており、この面粗沮汤今はCNNIC∈面柜インタ〖ネット攫鼠センタ〖∷により券乖されている、とのこと。この收りは、GREATFIRE.org や ars technica に拒嘿に淡很されていますのでご徊雇までに。
景、Googleのブログ抨蛊荚は肌のようなツイ〖トをしています。柒推から脖卢すると、蕊巢が券栏していても稍蛔的では痰さそうな史跋丹です。

涟荚は千沮渡、稿荚は沮汤今∈办婶、面粗千沮渡々∷の啼玛の攫鼠となります。
泼に稿荚のような奶慨说减誊弄∈々∷と夸弧される苟封は、海稿も誊が违せません。
この硷の苟封は、孺秤弄弓认跋において逼读を减ける材墙拉もあり、海稿も鲁く都耙のひとつとしてみています。
悸附拉のある含塑弄滦忽が略たれるところですが、それまではひとつひとつの都耙に滦借していくしか痰さそうですね。
海稿、柜柒の面粗千沮渡がタ〖ゲットになるかは尸かりません。とりあえずは泪誊の钳である2020钳まではウォッチし鲁けていこうと蛔った、海泣この孩でした。。。

なかなか负らない Exif Webshell Backdoor

2015钳01奉31泣00:00

ツイ〖ト

hiroki_iwa1

オフィシャルコメント

by¨翠版穷践

呵夺、Exif Webshell Backdoor などの茶咙ファイルを脱いた苟封缄庚に庙誊しています。
2013钳に鼠桂のあったExif Webshell Backdoor ですが、陵恃わらず驴くのウェブサイトで澄千されており、办婶のセキュリティ甫垫荚は猖めて庙罢を楼しています。僧荚もほぼ髓泣票屯の浮挛を澄千していますので、恫らくbotによる苟封ではないでしょうか。
この Webshell Backdoor は茶咙ファイルのExif攫鼠柒に碍拉コ〖ドを虽め哈んでいます。
◆布哭は∩Camera Model Name∩の攫鼠を碍拉コ〖ドに猖汊されたケ〖スです。

これらの嘿供されたファイルは、办斧すると舍奶の茶咙ファイルですので、ファイルアップロ〖ド怠墙を捏丁しているウェブサイトの瓷妄荚は、蕊巢に丹烧きづらいかもしれません。
附哼のところ蕊巢ウェブサイトの驴くは、AMP茨董∈Apache / MySQL / PHP∷惧にCMSが瞥掐されています。
その驴くはファイルˇアップロ〖ドに簇する廊煎拉を碍脱したものと夸卢されます。この爬で雇えれば、セキュリティパッチ努脱などの廊煎拉滦忽を乖っていれば松げていたと蛔われます。また、簿に Webshell を肋弥されたとしても、贷梦の碍拉コ〖ドを崔んだファイルであれば、その驴くはウイルス滦忽ソフトなどで额近することができます。∈警なくとも、惧哭のものはˇˇˇ∷

これらのサイト瓷妄娄の滦忽稍洒を梦ってか梦らでか、苟封缄界を豺棱したチュ〖トリアルが、アンダ〖グラウンド废のフォ〖ラムに猖めて抨蛊されています。恫らく苟封荚娄の囱爬から铜跟であるためだと蛔われます。このような苟封荚娄の瓢きは海稿の苟封瓢羹を徒鳞するうえでは督蹋考いところです。茶咙ファイルに碍拉コ〖ドやマルウェアを保拭する苟封缄庚は夺钳弊」躬摊步しています。その囱爬では、茶咙ファイルのセキュリティチェックは海稿动步していく涩妥があるかもしれませんね。

なお、它办惧揭のようにExifに碍拉コ〖ドが赁掐された茶咙ファイルを斧つけた眷圭は、Exif攫鼠を试礁すれば啼玛舱疥を饯赖することができます。
数恕は咖」ありますが、毋えば、附哼のディレクリ芹布に崔まれる链JPEGファイルに滦して、

find ./ -iname '*.jpg' -exec exiftool -Make= -Model= {} +

などするとCamera Maker Nameの猛を饯赖することができます。∈警」、宛私ですが。∷
また、浮叫数恕としてはウイルス滦忽ソフトを网脱するのが词帽です。
◆惧揭の缄庚のものに簇しては、ほぼ浮叫を澄千しています。

剔侠、啼玛のあるファイルの饯赖だけでなくアプリケ〖ションの廊煎拉铜痰の澄千やセキュリティ滦忽の澄千などは撕れずに。

徊雇¨
http://blog.sucuri.net/2013/07/malware-hidden-inside-jpg-exif-headers.html
http://blog.spiderlabs.com/2013/10/hiding-webshell-backdoor-code-in-image-files.html

いつのまに惧桅—々泣塑辉眷にもリ〖ガルマルウェア措度

2014钳11奉07泣13:00

ツイ〖ト

hiroki_iwa1

オフィシャルコメント

by¨翠版穷践

笆涟、リ〖ガルマルウェアに簇する淡祸を抨蛊させて暮きました。
その稿、屯」な拇汉をしましたが、リ〖ク攫鼠笆嘲にこれといった箭诚はありませんでした。

そんな面、とある泣塑柜柒のセキュリティイベントへ徊裁していた狠に、斧承えのあるロゴが浑肠に掐りました。
なんと、撇」と泣塑の簇息怠簇へセ〖ルスに丸ているではないですか—
面」このような怠柴はありませんので、玲庐泣塑及の哀虎をしまして、簇犯获瘟を暮きました。

剩眶のツ〖ルやサ〖ビスの疽拆获瘟が票甚されていましたが、面でも≈Correlation & Data Intelligence∽に簇する获瘟は、
ˇコミュニケ〖ションパタ〖ン
ˇ乖瓢パタ〖ン
ˇタ〖ゲットに簇する孟妄攫鼠
ˇ保れた簇犯荚の浮叫
ˇ鼎奶のコンタクトポイントの丽い叫し
など、なかなか督蹋考いサ〖ビスが捏丁されていました。
∈荒前ながら、拒嘿な攫鼠は淡很されていませんでした。∷

附哼、泣塑辉眷はサイバ〖烦见缓度だけで痰く、蜡绍羹けソリュ〖ションベンダ〖霹からも庙誊されています。
サイバ〖簇息、奶慨说减霹の恕猖赖が渴む泣塑は、长嘲からは胎蜗弄な辉眷に鼻るのかもしれません。
これらのツ〖ルは办忍には热横淋汉霹に网脱することを鳞年しています。∈と、慨じています。∷
ただし、蝗脱数恕を疙りますと、これらの梧のツ〖ルやサ〖ビスの网脱は、讳たち柜瘫栏宠に滦して屯」な逼读を第ぼす材墙拉があることは鳞咙に岂くありません。∈屯」な罢斧があると蛔いますがˇˇˇ∷
そういった罢蹋では、これらの辉眷の瓢羹は海稿も庙誊しておく涩妥がありそうです。

9.18のサイバ〖苟封に簇して∈纳淡∷

2014钳09奉16泣20:00

ツイ〖ト

hiroki_iwa1

オフィシャルコメント

by¨翠版穷践

黎降琐あたりから、髓钳贡毋の9奉18泣に簇する苟封を澄千しています。
承えの痰いコンテンツなどがアップロ〖ドされていませんでしょうか。
◆スクリ〖ンショットの淡很柒推からすると、フライングの丹もしますがˇˇˇ

附哼のところ、澄千されている傣つかのウェブサイトにおいては、Joomla! の贷梦の廊煎拉が碍脱されているように斧减けられます。
また、苟封滦据に簇してですが、泼年のウェブサイトというよりは缄碰たり肌妈に猖汊を乖っている滔屯です。
◆DoS苟封に簇しては踏澄千です。

候钳は柜柒嘲において剩眶のウェブサイトが猖汊が澄千されましたが、その驴くは苟封滦据リストに非很されたウェブサイトでは痰く、稍泼年驴眶に滦してでした。海钳も票屯の饭羹ではないかと雇えています。

なお、苟封グル〖プにより苟封缄庚は佰なりますので、ウェブアプリケ〖ションの戮にFTPやSSHなども庙罢が涩妥です。驶せて、极家サイトの浮瑚エンジンによる浮瑚冯蔡に山绩されてはマズい攫鼠が痰いか、などチェックされることをお传めします。

ではでは、また部か瓢きがありましたら输颅させて暮こうと蛔います。

≮纳淡≯
18泣になりまして、办婶の苟封荚グル〖プが泣塑柜柒の剩眶ウェブサイトを猖汊したことが澄千されています。
附哼も苟封费鲁面のようですので、苞き鲁きご庙罢ください。

フィッシングサイト菇蜜キットの肋弥荚毋

2014钳09奉11泣02:01

ツイ〖ト

hiroki_iwa1

オフィシャルコメント

by¨翠版穷践

9/9烧けのトレンドマイクロ家のブログへの抨蛊でApple ID壕艰を誊弄とした≈フィッシングサイト菇蜜キット∽について鼠桂されています。ちょうど、讳も梧击のキットをネットサ〖フィン面に券斧しましたので守捐させて暮きたいと蛔います。
キットの柒推や滦忽霹は、トレンドマイクロ家の鼠桂にお扦せするとして、ここでは肋弥荚について卡れてみたいと蛔います。

附哼、Apple ID霹を晾った梧击のキットの碍脱は剩眶サイトで澄千されています。その驴くは∩apple.zip∩ といったファイル叹で肋弥されており、网脱されている咐胳も屯」です。恫らく、坤肠称柜で碍脱されているのでしょう。
いずれのキットも、トレンドマイクロ家の鼠桂にあったように、千沮なしで惧疤ディレクトリの攫鼠が避枉材墙な肋年となっていたウェブサイトに肋弥されていました。いくつかのウェブサイトはブラックリストに判峡貉みのものもあり、恫らく册殿にフィッシングサイト霹で碍脱されていたものと蛔われます。

そんな面、これらのフィッシングサイト菇蜜キットで誊を苞いたものがありました。
布哭の$bilSndの舱疥なのですが、攫鼠の流慨黎のメ〖ルアドレスが淡很されており、そのアカウント叹に般下炊を承えました。というのは、そのスペルに承えがあったからです。

どこで誊にしたかおぼろげな淡脖を完りに、拇べていくと斧つかりました—
それは笆涟に、セキュリティ簇息の兜伴瓢茶のコメント腕で斧たものでした。このユ〖ザはクラッキングの瓢茶に督蹋があるようで、しばしばコメントを荒していました。また、あるSNSでも票叹のアカウントを网脱しており、票屯の瓢茶がリンクされていましたので、恫らく票办客湿だと蛔われます。
箕」、サイバ〖苟封荚の册殿の里烙霹がウェブで斧つかることはありますが、このようにプライベ〖トの宠瓢旺悟が荒っているケ〖スは旦です。∈ワザとかもしれませんがˇˇˇ∷
さらに、簇息拉のあるハンドルネ〖ムによるウェブ猖汊のインシデントも鼠桂されており、讳斧ですがこれも票办ユ〖ザではないかと椽ぐっています。

また、揉は毖胳、アラビア胳を蝗うことができるようです。どこの柜のユ〖ザか稍汤ですが、督蹋考い爬ではあります。
荒前ながら、附箕爬では揉が菇蜜キットの肋弥荚であるかは们年できません。しかし、警なくともフィッシングサイトから揉のメ〖ルアドレスに妈话荚の怠腮攫鼠が流慨されていた材墙拉は光いと咐えます。そして、恫らく揉はプロのサイバ〖苟封荚では痰く、戮の苟封祸捌を滔曙して菇蜜キットを肋弥したのだと夸卢します。妄统のひとつとして、ソ〖スコ〖ドが润撅に帽姐で戮の菇蜜キットと孺秤すると警」湿颅りなさがあったためです。
まあ、揉の燎拉は牌も逞とし、坤肠はiPhone 6 および Apple Watchの券山に搭」としています。この家柴弄秦肥を僻まえますと、さらに滔曙热が笼络するとの斧数が极脸です。そういった罢蹋では、Appleに簇息烧けたサイバ〖苟封はこれからが塑戎かもしれませんので、苞き鲁き庙罢しておく涩妥がありそうです。

ちなみに、讳はMoto 360に督蹋呐」です。。。

汤らかになりつつあるリ〖ガルマルウェアの悸轮

2014钳08奉31泣23:31

ツイ〖ト

hiroki_iwa1

オフィシャルコメント

by¨翠版穷践

呵夺、坤肠称柜でHackingTeamやFinFisherなど恕脊乖怠簇霹の网脱が苯される斌持拎侯ソフトウェアの厦玛が冷えません。いわゆる、リ〖ガルマルウェアのことです。
漓嚏の倡券ベンダ〖の赂哼は笆涟より苯されていました。ここにきて、簇犯获瘟が萎叫するなどし、その悸轮が汤らかになってきました。∈傅」は、WikiLeaksが券眉だったと淡脖しています。∷
毋えば、FinSpy Mobileのリリ〖スノ〖トには布哭のように淡很されています。

笆涟から淋汉誊弄でのマルウェア∈ポリスウェアなど∷の网脱に簇しては豢容尉侠でした。柜瘫の雌浑网脱への伏前や、そもそもマルウェアの网脱に滦しての窝妄炊など草玛は附哼でもつきません。
しかし、附哼ではこれらの草玛は荒しつつも、办婶の柜ではハイテク步する热横缄庚への滦钩忽として、これらのリ〖ガルマルウェアが脱いられているようです。∈フォレンジック誊弄のようです∷
泣塑ではどのような觉斗か梦りませんが、警なくともカスペルスキ〖家によるHackingTeamに簇する鼠桂では、C&Cサ〖バが肋弥されていたとのことですので、戮客祸とは咐い磊れなさそうです。

さて、これらのリ〖ガルマルウェアの泼魔ですが、マルウェア帽挛の怠墙烫はサイバ〖热横荚が碍脱するRAT∈Remote Access Trojan∷と票屯です。豺老冯蔡を斧れば、その柒推は悄爱できるでしょう。∈豺老冯蔡毋∷
ただし、捏丁されるソリュ〖ションは郊悸しており、マルウェアだけでなくExploitや沮凋を浮瑚するためのフォレンジック怠墙などが捏丁されているようです。FinFisherのブロ〖シャ〖には、ソリュ〖ションの链挛咙が尸かり白く淡很されていますので徊雇になるのではないでしょうか。

徊雇¨https://netzpolitik.org/wp-upload/FF_SolutionBrosch%C3%BCre_RZ_web.pdf

ちなみに、∩リ〖ガルマルウェア∩っぽいな、と炊じさせる舱疥は肌のようなところです。

∈１∷峡不怠墙
FinSpy Mobileなどは呵夺のバ〖ジョンで纳裁された怠墙のひとつです。
マイクロフォンで溅った不兰を淡峡します。

∈２∷SNS簇息アプリケ〖ションの攫鼠类艰怠墙
HackingTeamのスマ〖トフォン惹に簇しては、カスペルスキ〖家より肌のアプリケ〖ションより攫鼠を类艰する怠墙が鼠桂されています。∈徊雇∷

    com.tencent.mm
    com.google.android.gm
    android.calendar
    com.facebook
    jp.naver.line.android
    com.google.android.talk

Tencent∈面柜∷とLINEが崔まれていることを雇えますと、アジア紧柜も滦据になっていることが推白に鳞咙ができます。

これらの怠墙は、潦举滦炳の狠に网脱することが鳞年されていると夸卢されます。毋えば、热客の客粗簇犯を簇息烧ける沮凋のひとつとして网脱するなどです。このような怠墙は戮のマルウェアにもあるものですが、类艰した攫鼠の瘦链数恕などはリ〖ガルマルウェアならではの供勺があるのかもしれません。
◆潦举箕にこれらの数恕で箭礁した攫鼠が网脱できるかは、柜や剑などの恕围によります。

海稿、このようなマルウェアの网脱柜が笼えるかは尸かりませんが、沮雷の箭礁缄恕を恕弄に啼わない柜であれば何脱するのではないでしょうか。泼にスマ〖トフォンやタブレットへは、沮凋墒に恃步を涂えることがタブ〖とされていた、骄丸房のPCへのフォレンジックとは雇え数とは佰なるため、その材墙拉は光いかもしれません。∈贷にスマ〖トフォン羹けのフォレンジックツ〖ルは、Exploitを网脱することで瓷妄荚涪嘎を艰评し沮雷を箭礁しているものがあります。∷
このような觉斗を僻まえますと、海稿もテクノロジ〖の渴殊に燃い沮雷の箭礁数恕に簇しての雇え数は恃わっていくと徒鳞されます。

附哼のところリ〖ガルマルウェアは、办忍弄にはマルウェアの胺いです。
そういった罢蹋では、叉」はこれらの赂哼に滦して庙罢を失う涩妥があります。
もし、このようなマルウェアがスマ〖トフォンやPCから浮叫されましたら、あなたの乖瓢や客粗簇犯に督蹋のある寥骏がある、ということなのかもしれません。それはそれで、督蹋考いですね∈拘∷
部はともあれ、しばらく誊が违せないテ〖マであることは粗般い痰さそうです。

FIRST2014で炊じた∩Information Sharing∩の岂しさ

2014钳06奉30泣23:31

ツイ〖ト

hiroki_iwa1

オフィシャルコメント

by¨翠版穷践

CSIRT簇息のコミュニティで梦られるFIRSTカンファレンスへ徊裁してきました。
海钳のキ〖ワ〖ドの１つは≈Information Sharing∽でした。
候海のサイバ〖苟封の络惮滔步、および躬摊步が渴んでいる觉斗を僻まえ、猖めて庙誊を歪び幌めているように蛔います。
督蹋考かったのは≈Information Sharing∽を攫鼠鼎铜というよりは、恰部に怜刨の紊い攫鼠を叫していくか、といったところに肩淬が弥かれていた爬です。まずはインシデント攫鼠をどんどん叫していこう、といった罢蹋圭いでです。
これは部肝かというと、ひとつのインシデントが办寥骏だけで豺疯しなくなってきた百です。
毋えば、布哭のように苟封が剩眶寥骏に纲いで乖われている眷圭、驴くはそれぞれの蕊巢寥骏髓に拇汉が乖われるのが办忍弄です。しかし、サイバ〖苟封の链推を梦る百には称」の拇汉冯蔡を圭わせて尸老が乖われなければなりません。
しかし、荒前ながら链推が豺汤されるケ〖スは警ないのが附觉です。妄统は咐うまでもありませんね。

では、称」の寥骏がインシデント攫鼠をシェアする狠にどのような攫鼠があれば紊いのでしょうか。
毋えば、すぐに蛔いつくものでも肌のものがあります。

     (1)苟封傅
     (2)CnCサ〖バ∈IP / Location∷
     (3)碍脱された廊煎拉
     (4)マルウェア
     (5)碍脱されたメ〖ル∈山玛 / 塑矢 / 流慨傅∷
     (6)蕊巢柒推
     (7)蕊巢寥骏∈度硷∷
     (8)苟封荚咙
     (9)刊掐稿に网脱された稍赖プログラム
     (10)タイムライン
などなど。

(1)-(4)までの攫鼠は孺秤弄シェアされるようになってきました。(5)は办婶のコミュニティ粗ではシェアされています。
しかし、それ笆惧の攫鼠は燎のままでは岂しい眷圭があります。そこで、附哼屯」な艰り寥みが坤肠面で乖われています。毋えば、マルウェアの浮挛そのものの捏丁が岂しい眷圭はYaraによるシグネチャを侯喇し芹邵する。マルウェア炊厉稿はIOC∈Indicator Of Compromise∷を脱いるなどが洛山弄です。
また、(6)-(10)に簇してはスト〖リ〖步することで怠腮攫鼠をぼかしてシェアするなどの数恕を艰っているところもあるようです。芒し、やはり攫鼠が褂くなってしまいますため拒嘿な尸老冯蔡を评ることは岂しいのが附觉です。
インシデント攫鼠のシェアはまだまだ活乖檬超ですが、涩妥拉の光いジャンルだと蛔います。
ちなみに、カンファレンス徊裁荚とインシデント攫鼠を蛤垂した狠に咐われましたのは、泣塑を晾った苟封の办婶は坤肠からみると泼检だとのことです。そういった罢蹋でも柜柒においてもインシデント攫鼠をシェアするためのフレ〖ムワ〖クが涩妥な箕袋が丸たように蛔います。
Information Sharingを涩妥に趋られている寥骏、改客が靳」にコミュニティが惟ち惧げつつありますので、その狠は困润徊裁してみてください—

Openssl Heartbleed 苟封の浮梦について

2014钳04奉11泣18:08

ツイ〖ト

hiroki_iwa1

オフィシャルコメント

by¨翠版穷践

ここ眶钳で呵碍の廊煎拉と咐われているOpenSSL Heartbleedですが、そろそろ廊煎拉への滦炳を姜え、ホッと办漏いれている寥骏も驴いのではないでしょうか。
◆Shodanで澄千する嘎りでは滦炳が纳いついていないところがあるようですがˇˇˇ
また、改客レベルではSNSやクラウドˇストレ〖ジなどのパスワ〖ド恃构も撕れずに悸卉しておきたいところです。

徊雇¨
The Heartbleed Hit List: The Passwords You Need to Change Right Now
Heartbleed Bug Health Report [纳淡]

さて、贷に鼠苹などでの鼠桂の奶り、海搀の苟封はサ〖バ惧のログなどには函雷が荒りません。そこで、iptablesなどによりログを荒すように肋年しておくことで苟封ログを箭礁しておくと部かと奥看です。
办婶のバ〖チャルプライベ〖トサ〖バ∈VPS∷やレンタルサ〖バではiptablesなどでアクセス扩告していることがあると蛔います。そのような眷圭においても网脱できるのではないでしょうか。
◆含塑弄な滦忽ではなく、あくまで苟封浮梦という罢蹋で。

iptables log rules

iptables -t filter -A INPUT -p tcp --dport 443 -m u32 --u32 "52=0x18030000:0x1803FFFF" -j LOG --log-prefix "BLOCKED: HEARTBEAT"

iptables block rules

iptables -t filter -A INPUT -p tcp --dport 443 -m u32 --u32 "52=0x18030000:0x1803FFFF" -j DROP

徊雇URL:
http://www.securityfocus.com/archive/1/531779/30/0/threaded

snort / Suricata rules
OpenSSL ∑heartbleed∏ bug live blog
Detecting OpenSSL Heartbleed with Suricata

Honeypot∈おまけ∷
http://remember.gtisc.gatech.edu/~brendan/honeybleed.patch
http://packetstormsecurity.com/files/download/126068/hb_honeypot.pl.txt

ご徊雇まで。

ダ〖クウェブに励む保しサ〖ビスって—々

2014钳03奉31泣14:00

ツイ〖ト

hiroki_iwa1

オフィシャルコメント

by¨翠版穷践

呵夺、ダ〖クウェブ∈瓶叹步祷窖などを网脱したウェブサイト∷の厦玛をチラホラ斧かけます。
Silk Roadの笨蹦荚の箩梳、BitCoin祸凤などありましたので、恕脊乖怠簇やセキュリティ甫垫荚がダ〖クウェブが庙誊するのは碰脸かもしれません。

FBIがダ〖クネット肠の脚拿≈Silk Road∽の笨蹦荚を箩梳、Bitcoinが办箕私皖

笆涟からダ〖クウェブは碍の补静となりつつあることが玉かれていました。しかし、悸狠にどの镍刨の保しサ〖ビスが赂哼するのか、あまり丹に伪められていなかったように蛔います。
呵夺では、Tor惧でマルウェア脱リソ〖スなど900のサ〖ビスが苍漂していることが澄千され、サイバ〖苟封に碍脱されていることが鼠桂されました。

Number of the week: an average of 900 online resources are active on TOR daily
Tor hidden services – a safe haven for cybercriminals

この收は徒鳞奶りであり、サイバ〖苟封がさらに瓶叹步してる、くらい减け艰られてしまうかもしれません。しかし、悸狠はこれだけではなく、さらに驴くのサ〖ビスがダ〖クウェブ惧に败乖しています。
ブラックビジネスそのものがグロ〖バル步し、蹦度乖百としてダ〖クウェブを网脱しているわけです。
办忍にはあまり齐厉みの痰い坤肠かと蛔いますので、附哼どのようなサ〖ビスが肩に败乖されているのか办婶を疽拆したいと蛔います。

∈１∷マネ〖ˇロンダリング、ブラック朵乖など
BitCoinの祸凤笆惯、これらのサ〖ビスは庙誊されていますね。

∈２∷ギャンブル
ギャンブルサイトも牢からあったサ〖ビス。どのくらいの垛驰が瓢いているのかは尸かりません。

∈３∷绅达卿倾
办婶、テロ毁辩などもダ〖クウェブへ败乖しつつあります。
この收は簇わりたくないですね。

∈４∷刀陇簇犯
SuperDollars 々々なんでしょうか、これは々々

∈５∷AXXXXXXX
ノ〖コメントで。

ちなみに、ダ〖クウェブがハッキング蕊巢に圭うこともあります。
この眷圭は、网脱荚のリストはどうなるんでしょうか々々恕脊乖怠簇へ捏丁とかでしょうか々々

このようにサイバ〖苟封とは违れた尸填においても、ダ〖クウェブが网脱されるようになってきています。
柜董を亩えてのやり艰りが素どでしょうから、滦忽には柜踩粗息啡、攫鼠鼎铜などがさらに脚妥になってきます。
この觉斗布で称柜がどのように滦忽捌を叫してくるのか、络恃督蹋考いところですね。

呵夺丹になるメモリ惧の攫鼠を晾ったPOSマルウェア

2014钳02奉28泣11:30

ツイ〖ト

hiroki_iwa1

オフィシャルコメント

by¨翠版穷践

呵夺、BlackPOSなどのPOSマルウェアのニュ〖スをよく誊にします。
これらのマルウェアはMemory Scrapingという缄恕を网脱していることで梦られています。
眉弄に棱汤しますと、メモリ惧に淡峡されている攫鼠を类艰する缄庚で、Zbot、CitadelなどのBanking TrojanやKeyloggerなどでもしばしば网脱されているものです。

徊雇URL¨
Point-of-Sale and memory scrappers

メモリ惧には、芭规步されているような怠腮攫鼠∈パスワ〖ドやカ〖ド攫鼠とか∷もクリアテキストで淡峡されていることが驴」あります。毋えば、Banking Trojanなどが晾うようなオンラインバンクのログオン攫鼠であれば、络鸟はウェブブラウザのプロセスのダンプを拇べれば澈碰の攫鼠が评られます。

POSマルウェアの眷圭はクレジットカ〖ドやデビットカ〖ドの攫鼠を类艰することが誊弄です。あるマルウェアの眷圭は、肌ような赖惮山附を脱いて攫鼠を却き叫しています。
◆これはそのままIDS、DLPなどのル〖ルとして蝗えそうですが、パフォ〖マンスに逼读しそうな墓さですので警し供勺が涩妥です。

(((%?[Bb`]?)[0-9]{13,19}\^[A-Za-z\s]{0,26}/[A-Za-z\s]{0,26}\^(1[2-9])(0[1-9]|1[0-2])[0-9\s]{3,50}\?)[;\s]{1,3}([0-9]{13,19}=(1[2- 9])(0[1-9]|1[0-2])[0-9]{3,50}\?))

カ〖ドに簇犯する矢机误¨
　　ˇ[0-9]{13,19} --- クレジットカ〖ド戎规
　　ˇ[A-Za-z\s]{0,26}/[A-Za-z\s]{0,26} --- カ〖ド叹盗
　　ˇ(1[2-9])(0[1-9]|1[0-2]) --- YYMM∈2012钳×2019钳∷
　　ˇ[0-9\s]{3,50} --- CVC / CVV

このようにメモリへアクセスするための涪嘎さえあれば孺秤弄推白に攫鼠を评ることができてしまいます。その爬では、寥み哈みOSやファイルサ〖バなどでAdministrator涪嘎などで瓢侯しているシステムは妥庙罢というわけです。
もっとも、このような涪嘎で瓢侯しているシステムは、戮の苟封に滦してもリスクが光いことは咐うまでもありませんが。。。

メモリ惧の攫鼠を晾った苟封は、含塑弄な豺疯忽が叫てくるまでは幻く鲁くとみています。というのも、筛弄のシステムの茨董がある镍刨嘎年されていますし、苟封荚は痰妄にマルウェアを侯喇しなくても悸附材墙な苟封ですので、斧えないところで蕊巢が券栏し鲁けるのではないか、と蛔いました。
また、泣塑での蕊巢攫鼠は海のところ吉にしていませんが、ちょうど４奉にWindows XPのサポ〖ト磊れですし、そろそろかなぁ、と椽ぐっています。POSシステムを晾った苟封は2010钳涟稿からですので、そろそろ泣塑柜柒のシステムを晾ってきてもよさそうな箕袋ですよね。

このような苟封は、メモリ惧の攫鼠を芭规步する慌寥みが筛洁となるような箕洛がこなければ痰くならないかもしれませんね。もっとも、そのような祷窖が舍第すると、フォレンジック豺老荚らも苟封荚と票じ呛みを积つことになるわけです。氦りましたね。

呵稿にPOSマルウェアに滦しての滦忽はこちらの攫鼠が徊雇になりそうですのでご疽拆しておきます。

徊雇URL:
What retailers need to learn from the Target breach to protect against similar attacks

POSシステムに嘎った厦でもありませんので、徊雇になると蛔います。

花矢、己伍しました。