涔愯儢浠ｈ喘鍏嶄唬鐞嗙増

by¨省抗络搭

まだまだある、BECの缄庚

2016钳07奉19泣09:00

ツイ〖ト

daiki_fukumori

オフィシャルコメント

by¨省抗络搭

黎奉、BEC(Business Email Compromise)の诺房弄な缄庚を疽拆しつつ、庙罢喘弹を乖いました。
エフセキュアブログ : 家墓のメ〖ルは靠に减けるな—

このブログ淡祸のように家墓のメ〖ルであれば痰浑しておけば貉むんですが、BECというのは、いわゆる壕到ですから、苟封荚は缄を仑え墒を仑え、あの缄この缄で奖いかかってきます。箕に苟封荚はこちらがメ〖ルを痰浑できないという惟眷を躬みに网脱することもあります。

まず苟封荚は措度のウェブサイト柒にある啼い圭わせフォ〖ムからメッセ〖ジを流ります。啼い圭わせ柒推は、≈告家の糠澜墒に督蹋があるので、カタログを流ってほしい∽という炊じです。

Contact Form

[办忍弄な啼い圭わせフォ〖ム]

碰脸そういったメッセ〖ジを减け艰った措度は搭び挺んで手慨するでしょう。

[苟封荚が措度からの手慨を减慨したところ]

ここで、苟封荚は减慨したメッセ〖ジへリプライしますが、その狠にマルウェアを藕烧します。

[苟封荚がマルウェア烧きメ〖ルを流慨しているところ]

マルウェアの面咳はこのように悸乖ファイル(bat,exeなど)になっています。

[藕烧ファイルの面咳]

么碰荚は极尸で流ったメ〖ルに滦する手慨なので、ついうっかり藕烧ファイルを倡いてしまうˇˇ材墙拉が光くなるというのが苟封の缄庚です。

滦忽¨
悸乖ファイルをダブルクリックしないように庙罢するという篮坷侠ではどうしても嘎肠がありますので、稍泼年驴眶の杠狄から啼い圭わせを减け烧ける客の眉琐では、悸乖ファイルの悸乖をシステム弄に扩嘎しておくことをおすすめします。
恶挛弄な数恕は册殿の淡祸で疽拆しています。

家墓のメ〖ルは靠に减けるな—

2016钳06奉20泣09:00

ツイ〖ト

daiki_fukumori

オフィシャルコメント

by¨省抗络搭

BEC(Business Email Compromise)というサイバ〖热横の缄庚が、候钳から警しずつ厦玛になりはじめ、FBIからも浩话に畔って庙罢喘弹が叫されておりまして、黎泣とうとう圭纷の蕊巢驰が31帛ドルを亩えたそうです。

Internet Crime Complaint Center (IC3) | Business E-mail Compromise: The 3.1 Billion Dollar Scam より

泣塑ではビジネスメ〖ル壕到と钙ばれていますが、その缄庚を词帽に疽拆します。

热客は家墓(または沸妄么碰荚や艰苞黎など)になりすまし、骄度镑にメ〖ルを流ります。

海叫黎なんだけど、この涟厦してた度坛捏啡の凤で魂缔この庚郝に300它边流垛してくれ—

舍奶こんなメ〖ルを减け艰ったら篓スパムフォルダ乖きでしょう。
ところが、もし悸狠に捏啡厦が赂哼しており、この骄度镑が家墓から、

海刨の叫磨で捏啡黎铬输と防腆垛500它边涟稿で蛤灸する。姜わり肌妈冯蔡を息晚する。

というメ〖ルを祸涟に减け艰っていたとしたらどうでしょう々

热客はあらかじめマルウェアやフィッシングなどを网脱し、家墓のメ〖ルボックスを硼み斧ていますので、祸涟の柴厦柒推を悄爱しタイムリ〖な厦玛を蝗うことが材墙なんです。

眶降粗稿には、

骄¨家墓、この涟の防腆垛の挝箭今が丸ないんですがˇˇ
家¨防腆垛々部の々
骄¨えっ々
家¨えっ々

となりそうですが、热客はメ〖ルボックスの雌浑を鲁け、なりすましで努碰にお勉を蛮しながらマネ〖ロンダリングのための箕粗を苍ぎます。

Stalling

热客がお勉蛮しメ〖ルを侯喇している屯灰

径条

蕊巢荚¨海泣朵乖に澄千しましたが、まだ掐垛されていませんでした。浩刨朵乖に澄千しますので、流垛に蝗った朵乖コ〖ドを兜えてください。

热客¨ご怠幅いかがですか々夫やかにお册ごしのことと蛔います。
ご徊雇までにお帕えしておくと、こちらは黎泣まで蒂菜をいただいておりまして、塑泣より度坛に牲耽したところです。流垛に簇しては攫鼠をいただけると宫いです。

陵缄がいくらタイムリ〖な厦玛や企客だけの入泰を梦っているからといって、慨脱してはいけません。
家墓笆嘲にも、艰苞ベンダ〖や沸妄么碰、售割晃などになりすますパタ〖ンもありますが、
诺房弄な缄庚として、嘲叫黎や钝缔祸轮を妄统にしてフリ〖メ〖ルで息晚が丸ることが驴いです。そこで丹づければよいのですが、それよりも答塑弄な滦炳として、≈慷哈黎の恃构∽や≈糠惮の慷哈黎∽などをメ〖ルで回绩されたとしても涩ず排厦でも澄千する、ということをおすすめします。

海のところはまだ毖胳での壕到が肩萎ですので、长嘲とのやりとりが驴い措度の数は泼に妥庙罢です。

ウイルス滦忽ソフトの妈话荚删擦

2016钳05奉30泣09:00

ツイ〖ト

daiki_fukumori

オフィシャルコメント

by¨省抗络搭

ウイルス滦忽ソフトの联年にお氦りの数は驴いと蛔います。そのため、妈话荚删擦ということでいくつかの怠簇が删擦冯蔡を叫しています。が、删擦怠簇も剩眶あって、どの删擦怠簇のものを慨脱していいかわからないというのが悸攫だと蛔います。

さらに、碰脸のことながら称家のマ〖ケティングは极尸たちに旁圭の紊い冯蔡が叫ている删擦を罢哭弄に联んで蝗うため、冯渡、称家ともに≈极尸たちがトップ—∽というグラフが叫てきます。


妈话荚怠簇の删擦ˇ减巨务∶シマンテックストアより苞脱	エンドポイントセキュリティ澜墒∈改客羹け∷の祷窖删擦 \| トレンドマイクロより苞脱	カスペルスキ〖澜墒、2015钳の妈话荚删擦怠簇のテストに94搀徊裁し、60搀のトップ删擦を减巨 \| カスペルスキ〖より苞脱

そんな面、エフセキュアブログの淡祸、エフセキュアブログ : AV-Comparativesによる附悸坤肠のテスト冯蔡は办蹋般います。
ThirdParty_FSecure

エフセキュアブログ : AV-Comparativesによる附悸坤肠のテスト冯蔡より苞脱

よく斧るとこれは≈极尸たちがトップ—∽というグラフではなく、あえて界疤を今き叫してみると、
办疤¨カスペルスキ〖
企疤¨トレンドマイクロ
话疤¨エフセキュア
となっているのです。

これは澄かに慨脱できそうですね。

≈Petya¨ディスク芭规步ランサムウェア∽に炊厉したマシンの牲奠

2016钳04奉13泣08:00

ツイ〖ト

daiki_fukumori

オフィシャルコメント

by¨省抗络搭

エフセキュアブログによると、Petyaに炊厉するとマシンを牲奠する数恕は办つしか痰いと今かれています。

エフセキュアブログ : Petya¨ディスク芭规步ランサムウェアより却胯

サ〖バのヘルプ痰しでマシンを牲奠する停办の数恕は、デバッガを蝗って炊厉プロセスの庞面でsalsa20のキ〖を梳陋することだ。これは奶撅のコンピュ〖タユ〖ザにとっては、あまり胎蜗弄な滦钩缄檬ではない。

厂さんお尸かりかと蛔いますが、これはエフセキュアブログ萎のジョ〖クであり、悸狠には≈牲奠数恕は痰い∽という罢蹋の矢鞠です。

しかしその稿、leostone会が炊厉マシンを牲奠する数恕を券斧し、给倡しました。(hack-petya mission accomplished!!!)
もはやPetyaに咳洛垛を毁失う涩妥はありませんし、デバッガを蝗う涩妥もありません。

牲奠までの苹のりを词帽に疽拆します。
鲁きを粕む

汤らかによろしくない尸梧

2016钳03奉30泣08:00

ツイ〖ト

daiki_fukumori

オフィシャルコメント

by¨省抗络搭

髓刨绩憾に少んだ淡祸が抨蛊されることで客丹を穷しているエフセキュアブログですが、黎泣も络恃捡のある淡祸が抨蛊されました。

エフセキュアブログ : Locky¨汤らかによろしくない慷る神いより苞脱¨

碰家のソフトウェアDeepGuardを悸乖している眷圭、ビヘイビア浮梦エンジンが、Lockyの脱いる苟封の寝拆メ〖ルと、マルウェアの慷る神いの列数を了贿する。すでにかなり墓い粗、列数とも浮梦している。
(面维)
Lockyおよびそのバリアントに簇息する碍罢ある慷る神いは、笆布の3つの浮梦によりブロックする。
    Trojan-Dropper:W32/Agent.D!DeepGuard
    Trojan:W32/Pietso.A!DeepGuard
    Trojan:W32/TeslaCrypt.PE!DeepGuard
(面维)
もしこのJavaScriptを悸乖すると、Lockyの悸乖ファイルをダウンロ〖ドし悸乖する。このバリアントはTrojan-Downloader:JS/Dridex.Wとして浮梦する。

妥するに、LockyというランサムウェアはTeslaCryptやDridexとかの叹疚で浮梦する、と。
ほとんどの数は罢蹋が妄豺できていないと蛔いますが、TeslaCryptもDridexもLockyとは链く佰なるマルウェアだけど、浮梦するんだからまあいいじゃん、というブログ淡祸です。
悸狠のところ、ウイルス滦忽ソフトの舔充はマルウェアを浮梦して炊厉を咯い贿めることであり、球か辊かの冉们さえ粗般っていなければOKというスタンスなので、数克として粗般ってはいないわけですが、フィンランド措度の丽锡されたイメ〖ジからするとちょっと罢嘲です。
(お狄屯からのインシデント鼠桂を减けて滦炳する讳の惟眷からすると、ランサムウェアとバンキングマルウェアとでは滦炳が链く佰なりますので、ちょっと氦るのですが。)

このあたりの络花悄さ裁负や咆蜗の狞め恶圭を称家と孺秤してみると烫球いです。

Lockyの悸乖ファイル (1fd40a253bab50aed41c285e982fca9c)

	2016/2/16	2016/3/24
エフセキュア	浮梦せず	Trojan.GenericKD.3048336
カスペルスキ〖	浮梦せず	Trojan-Ransom.Win32.Locky.d
マイクロソフト	浮梦せず	Ransom:Win32/Locky!rfn
シマンテック	Suspicious.Cloud.5	Trojan.Cryptolocker.AF
トレンドマイクロ	浮梦せず	Ransom_LOCKY.A

JavaScriptで今かれたLockyのロ〖ダ〖 (6288aee880e2775046f1388b28b87ea0)

	2016/3/23	2016/3/28
エフセキュア	Trojan-Downloader:JS/Dridex.W	Trojan-Downloader:JS/Dridex.W
カスペルスキ〖	HEUR:Trojan-Downloader.Script.Generic	Trojan-Downloader.JS.Agent.jkb
マイクロソフト	浮梦せず	浮梦せず
シマンテック	浮梦せず	浮梦せず
トレンドマイクロ	浮梦せず	JS_LOCKY.KB

◆ロ〖ダ〖だけでは碍罢を冉们できないので、≈浮梦せず∽は斧屁しを罢蹋するものではない。

傅淡祸にある≈すでにかなり墓い粗、列数とも浮梦している∽というのが恶挛弄にどれくらいの粗なのかもわかりますね。

海钳刨のCTFを痰列した蹿柜チ〖ム、その动さの入泰

2016钳02奉03泣08:00

ツイ〖ト

daiki_fukumori

オフィシャルコメント

by¨省抗络搭

DEFCON庭尽の谗刁に幌まり、HITCON、SECCONも扩瞧した蹿柜CTFチ〖ムCyKorですが、その熟挛がBoB(Best of the Best)というサイバ〖セキュリティエリ〖ト祷窖荚蛙喇疥だというのは铜叹な厦です。

建帮なのは蛙喇疥の答塑コンセプトで、髓钳眶篱客の炳淑荚の面から联ばれた100叹途りの减怪栏に滦して兜伴を捏丁する册镍において、いかにして泼に庭建な10客にまで猴っていくか、という爬が脚妥浑されているのです。荒贵な咐い数をすれば、せっかく呵介の140叹に联ばれても蛙喇疥柒での喇烙が碍いと、すぐにクビになります。

BoBのWebサイトに淡很されている答塑弄なコンセプト

黎泣、その蛙喇疥に怪徽として钙ばれ、匣泣粗の泼侍怪盗をする怠柴に访まれましたので、その办眉を疽拆したいと蛔います。讳が么碰したのは30客から10客に故り哈むステ〖ジです。
鲁きを粕む

ボットネットテイクダウン陡鳞妒

2016钳01奉06泣08:00

ツイ〖ト

daiki_fukumori

オフィシャルコメント

by¨省抗络搭

オンラインバンキングを筛弄としたボットネットDridexが、テイクダウン稿に筷えを斧せるどころか、さらに廓いを笼しているということで厦玛(Dridexの豺挛, Botnets spreading Dridex still active)になっています。

テイクダウンの困润については牢から豢容尉侠ありまして、充れ岭妄侠とよく击た的侠が蛤わされています。
眉弄に咐えば、≈どうせすぐ牲宠するから、やる罢蹋ないよ∽という茹冉をよく吉にするのです。

徊雇までに、呵夺のボットネットテイクダウン侯里を滦据に、VirusTotalにアップロ〖ドされているマルウェア浮挛眶が、テイクダウン悸卉涟稿でどう恃步しているかを拇べてみました。

玻即は浮挛がコンパイルされた泣烧(つまり浮挛が侯喇されたであろう泣烧)、侥即はアップロ〖ドされている浮挛眶で、グラフごとに誊拦りが佰なるので庙罢。コンパイル泣箕は刀刘材墙なので、あくまで徊雇攫鼠として。

Ramnit 给山されている炊厉眉琐眶¨320它骆テイクダウン悸卉箕袋¨2015钳2奉肩瞥した怠簇¨ユ〖ロポ〖ル徊雇攫鼠¨极咳をブロックするウイルス
Simda 给山されている炊厉眉琐眶¨77它骆テイクダウン悸卉箕袋¨2015钳4奉肩瞥した怠簇¨インタ〖ポ〖ル徊雇攫鼠¨Simdaボットを纪る3塑の甜
Beebone 给山されている炊厉眉琐眶¨10它骆テイクダウン悸卉箕袋¨2015钳4奉肩瞥した怠簇¨ユ〖ロポ〖ル
Vawtrak 给山されている炊厉眉琐眶¨8它2000骆テイクダウン悸卉箕袋¨2015钳4奉肩瞥した怠簇¨焚浑模
Dridex 给山されている炊厉眉琐眶¨润给倡テイクダウン悸卉箕袋¨2015钳10奉肩瞥した怠簇¨FBI、NCA 徊雇攫鼠¨Dridexの豺挛

Simdaのようにテイクダウンを董として宠瓢が睦琅步した祸毋もあれば、DridexやRamnitのように嫡に宠券步してしまった祸毋もあるという冯蔡でした。

惧揭の充れ岭妄侠に簇する容年弄な肩磨として、≈家柴池は充れ岭妄侠に庭しくはない。∽という矢鞠がWikipediaには很っていますが、≈家柴池はボットネットテイクダウンに庭しくはない。∽とも咐えるようです。

それでも讳改客弄にはボットネットのテイクダウンに豢喇巧だったりします。豢喇というのは、テイクダウンをやれば它祸豺疯という罢蹋ではなく、テイクダウンもボットネット办凛侯里の办婶として铜跟だという罢蹋です。悸狠、テイクダウンをきっかけとして淋汉が渴鸥することはよくあります。

ダイジンとユ〖ジン

2015钳12奉08泣08:00

ツイ〖ト

daiki_fukumori

オフィシャルコメント

by¨省抗络搭

黎奉のことになりますが、Cyber3 Conference Okinawa 2015という柜狠柴的に讳も蒂菜がてら徊裁してきました。

(サイバ〖クライムのセッションでは、インタ〖ポ〖ルIGCIへの袋略の光さを醛で炊じた。)

介泣の链挛セッションには、泣塑蜡绍からダイジンという数が判门され、

なぜ、坤肠の庭建な祷窖荚はグ〖グルやアップルのような措度に乖くのか。これは惦瘟が光いからではない。祷窖荚の玫垫看を塔たせる茨董が腊っているからだ。それと票じように泣塑の祷窖荚も、家柴棺弗という络盗のために、奥い惦瘟で磋磨ってほしい。

という捡惠の券咐がありました。

ダイジンのそういった券咐がある办数で、企泣誊には、坤肠弄に铜叹なサイバ〖セキュリティ措度を沸蹦するユ〖ジンという数が判门されました。そのロシア措度は坤肠面からトップレベルのセキュリティ祷窖荚∈ハッカ〖∷をかき礁めていることでも梦られ、アンチウイルス度肠のグ〖グルとまで咐われたり、咐われなかったりします。
ユ〖ジンは、

浇尸な眶のセキュリティ祷窖荚を竖えている柜など坤肠面玫してもどこにもない。どんどん抨获して、兜伴して伴てなければならない。眶が警ないからこそ、揉らにはフットボ〖ルプレイヤ〖事みの惦瘟がかかるが、措度にも蜡绍にもまだまだセキュリティ祷窖荚が涩妥とされている。

と券咐されました。
さすが、办适も企适もあるハッカ〖の钳署を疯年する惟眷にある沸蹦荚の咐驼からは鹅汐と承哥が帕わってきます。それにエンジニア叫咳の沸蹦荚というだけあって、セキュリティ祷窖荚の看攫もよく妄豺しています。

サイバ〖セキュリティ度肠を恢す池栏の厂さん、リ〖ガˇエスパニョ〖ラ∈スペインプロサッカ〖リ〖グ∷の士堆钳署は2帛7篱它边、ロシアプレミアリ〖グでも3篱它边だそうですよ。

徊雇攫鼠¨≮ハリルジャパン≯2015シ〖ズン钳署ランキングが罢嘲すぎるww

眶迫マルウェア vs. EMET 5.2

2015钳10奉06泣08:00

ツイ〖ト

daiki_fukumori

オフィシャルコメント

by¨省抗络搭

眶ヶ奉涟、碍罢のある眶迫啼玛ファイルを粕み哈むことの错副拉について庙罢喘弹を乖いましたが、候海の筛弄房苟封の缄庚は碍剂步、躬摊步の办庞をたどり、ソ〖シャルエンジニアリングを额蝗した苟封缄恕も丽锡され、もはや≈碍罢があるかどうかを祸涟に冉们∽することが氦岂になりつつあります。つまり、≈稍砍な眶迫啼玛ファイルを倡かない∽というのが滦忽として怠墙しなくなってきたのです。

そこで夺钳庙誊されているのが、マイクロソフトが捏丁するEMETに洛山されるような廊煎拉松告(此下)ソフトウェアです。
玲庐、EMETを铜跟にした觉轮で眶迫マルウェア(赖澄に咐うと眶迫Exploit)を蝗って苟封してみましょう。
デフォルトで3つのセキュリティレベルが脱罢されていますので、呵光レベルの≈Maximum security settings∽を联买して悸赋を倡幌します。

なるほど、澄かに苟封を浮梦して松告してくれました。

では肌に、EMETによる松告をバイパスしてみましょう。EMETの豺棱を粕む嘎りでは、苟封に蝗われる诺房弄な慷る神いをパタ〖ン步しているようです。そこで、办木俐に苟封に羹かうのではなく、わざわざ斌搀りをして苟封してみます。毋えて咐うと、スタ〖ト孟爬Aから誊弄孟Bに羹かいたいが、庞面に浮啼がある。だったら办刨沸统孟Cを奶ってから誊弄孟Bに羹かおうという、いたってシンプルな侯里です。
妥するに
A -> B
という炭吾は
A -> C
C -> B
という企檬超の炭吾に弥き垂えます。

窗喇した苟封コ〖ドを悸乖した瓢茶です。

廊煎拉松告ソフトウェアは、あわてんぼうの苟封荚にとっては铜跟ですが、篮躬に苟封されるとまだまだバイパスが材墙、という檬超のようです。

また海搀の悸赋はEMETだけでなく戮の筛弄房苟封滦忽ソフトに滦しても票屯にバイパスが材墙でした。

≈稍砍な眶迫啼玛ファイルを倡かない∽という极慨の痰い数は、度坛脱PCと眶迫脱PCを尸けることをおすすめします。

2015/10/06纳淡: EMET 5.5 Betaでも冯蔡は票じでした。

トップガンを臂えてゆけ

2015钳09奉21泣08:00

ツイ〖ト

daiki_fukumori

オフィシャルコメント

by¨省抗络搭

NHKのプロフェッショナルというテレビ戎寥の面で、"サイバ〖セキュリティ〖祷窖荚の面でも呵光の祷窖を积つトップガン"ということで≈あの∽叹下さんが判眷しました。

叹下网盟∈2015钳9奉14泣庶流∷| これまでの庶流 | ＮＨＫプロフェッショナル慌祸の萎捣

泼にマルウェア豺老シ〖ンでは仆っ哈みどころがたくさんありますが、テレビということで络誊に斧てもらうとして、祷窖荚が疙豺したままではマズイと蛔うことを办爬だけ。

姜茸でのマルウェア豺老の狠に、VirusTotalでの浮瑚冯蔡で≈b1ef92??∽という矢机误が叫てきたことから、IPアドレスが≈177.239.146.???∽だと冉们してメキシコのサ〖バを沸统した苟封である材墙拉がある、という厦になっています。
おそらく≈b1ef92??∽を1バイトずつに尸豺して、16渴眶から10渴眶に恃垂したのでしょう。

16渴眶山淡	b1	ef	92
10渴眶山淡	177	239	146

ところが、そもそもこの猛はVirusTotal迫极のハッシュ猛ですので、こういった纷换でIPアドレスを充り叫すことはできません。よって、メキシコというのは疙鼠でしょう。

では、どこの柜を沸统した苟封なのか。それはマルウェア浮挛极挛を豺老するのが办戎澄悸です。

マルウェアの面咳を斧ると、サ〖バのアドレスは芭规步されていますが、牲规ロジックも牲规赴もマルウェア浮挛极咳の面に掐っていますので、それを脱いて牲规するとマルウェアの奶慨黎がわかります。

malwareanalysis

その奶慨黎から、企つ誊のサ〖バに簇する攫鼠を芭规步された妨で艰评できますので、票屯に牲规すると苟封荚のサ〖バのIPアドレスがわかります。
そのサ〖バにアクセスした冯蔡がこちらです。

iis

汤らかにメキシコ笆嘲の柜が晚んでそうですね。

碍罢のある眶迫啼玛ファイルを粕み哈むことで扦罢のコマンドを悸乖される廊煎拉

2015钳08奉10泣08:00

ツイ〖ト

daiki_fukumori

オフィシャルコメント

by¨省抗络搭

车妥
シンガポ〖ルの俭陵リ〖シェンロン会によって倡券されたSudoku solverには、バッファオ〖バ〖フロ〖の廊煎拉が赂哼します。

sudoku-2015-000001

逼读を减けるシステム
Sudoku solverを寥み哈んだシステム

拒嘿攫鼠
Sudoku solverには掐蜗デ〖タの借妄に弹傍するバッファオ〖バ〖フロ〖 (CWE-121) の廊煎拉が赂哼します。

鳞年される逼读
嘿供された眶迫啼玛ファイルを粕み哈むことで、扦罢のコ〖ドを悸乖される材墙拉があります。

滦忽数恕
稍砍な眶迫啼玛ファイルを倡かないようにしてください。

徊雇攫鼠

颊辑
IT黎渴柜を誊回す柜踩のリ〖ダ〖咙を极らの乖瓢で绩すリ〖シェンロン会に滦し考い颊罢を山します。

钳垛怠菇を奖ったマルウェアに炊厉しているかを1尸で澄千する数恕

2015钳07奉01泣08:00

ツイ〖ト

daiki_fukumori

オフィシャルコメント

by¨省抗络搭

さすがに光拉墙なフォレンジックソフトを蝗えば词帽に斧つけられるようです。

focus-s

臭及柴家フォ〖カスシステムズが给倡した
∝钳垛怠菇への筛弄房苟封に网脱された≈Emdivi∽のResponder Proによる浮梦と豺老≠

ただ、办忍の数にしてみればちょっとオ〖バ〖スペックかもしれませんので、もっと词帽に澄千する数恕を疽拆します。

タスクマネ〖ジャ〖を倡き、滦据プロセスを宝クリック、≈ダンプファイルの侯喇∽を联买します。
taskmanager_emdivi

あとは、侯喇されたダンプファイルからC2サ〖バのドメインを浮瑚するだけです。
惧淡のサイトによると澎叠旁沽惰にある长笨措度のドメインは≈p∽で姜わるようですので、≈p.co.jp∽で浮瑚します。
cmd_emdivi

长笨措度っぽい叹涟が叫てきたら炊厉しています。

悸狠には长笨措度笆嘲もC2サ〖バとして蝗われていますので、もうちょっと绕脱弄なキ〖ワ〖ドのほうがいいかもしれません。
cmd_emdivi2

ランサムウェアから咳を奸るための微ワザ

2015钳06奉03泣08:00

ツイ〖ト

daiki_fukumori

オフィシャルコメント

by¨省抗络搭

エフセキュアブログでも裳人に艰り惧げられているように坤肠面でランサムウェアが淘耙を慷るっています。
PC柒のファイルを芭规步し蝗えなくすることで、脚妥なファイルを客剂に艰り、傅に提して瓦しければ咳洛垛(ランサム)を失え、というやつです。

TorLocker

どのアンチウイルスベンダ〖も浩话焚桂しているのにも簇わらず、炊厉蕊巢は负る丹芹がないどころか笼える办数です。
妄统は、アンチウイルスベンダ〖と办忍ユ〖ザの粗には肌のような孤があるからだと蛔われます。

鲁きを粕む

Simdaボットを纪る3塑の甜

2015钳04奉19泣20:40

ツイ〖ト

daiki_fukumori

オフィシャルコメント

by¨省抗络搭

インタ〖ポ〖ル、マイクロソフト、カスペルスキ〖、トレンドマイクロと定蜗しSimdaボットネットのテイクダウンを乖いました。
カスペルスキ〖から叫羹している票谓から鼠桂があるように、このマルウェアは驴くの豺老烁巢怠墙があるため、アンチウイルスベンダ〖のサンドボックスではうまく浮梦することができていませんでした。

そこで、サイバ〖ディフェンス甫垫疥が缄瓢で豺老を悸卉し、その豺老冯蔡を傅にしたアンパッカ〖と芭规步された奶慨、肋年ファイルの牲规ツ〖ルをマイクロソフトやアンチウイルスベンダ〖に捏丁し、链推の豺汤に定蜗しました。

また、すでに炊厉しているユ〖ザへの滦炳として、肌の3つ(3塑の甜)を脱罢しました。

IPアドレスを傅にした炊厉澄千サイト Simda Bot Free IP Scanner (カスペルスキ〖捏丁)
アンチウイルスソフトのフリ〖惹 (カスペルスキ〖、トレンドマイクロ捏丁)
hostsファイル猖ざんの极瓢】缄瓢澄千サイト (サイバ〖ディフェンス甫垫疥捏丁)

炊厉が悼われる眷圭には、肌のように山绩されます。

称甜の奸洒认跋は肌の山のようになっています。

No.	炊厉箕袋、炊厉茨董など	IP Scanner	アンチウイルスソフト	极瓢 hosts check	缄瓢 hosts check
1	极甘久糖涟(ⅷ)	←	←	←	←
2	极甘久糖稿	←	∵	←	←
3	テイクダウン涟のマルウェア宠瓢	∵	←	←	←
4	テイクダウン稿のマルウェア宠瓢	←	←	←	←
5	啊硷への滦炳	ⅳ	ⅳ	ⅳ	←
6	マルウェア炊厉宠瓢涟	∵	←	∵	∵
7	瓢弄IPアドレス茨董での炊厉	∵	←	←	←
8	プライベ〖トIPアドレス茨董での炊厉	∵	←	←	←

ⅷ 屯」な掘凤により、マルウェア浮挛极咳が猴近される眷圭とされない眷圭がある

この面で炊厉荚眶が驴いのが2戎と3戎だと蛔われます。
改客弄にオススメする办戎缄っ艰り玲くて澄悸な澄千数恕はhostsファイルの缄瓢澄千です。

呵动の攫鼠尸老荚を誊回して

2015钳03奉30泣07:44

ツイ〖ト

daiki_fukumori

オフィシャルコメント

by¨省抗络搭

攫鼠箭礁么碰荚と攫鼠尸老么碰荚、どちらに努拉があるかを删擦してくれるサイト≈INTELLIGENCE SKILLS CHALLENGE∽を给奥拇汉模が倡肋しました。

サイバ〖ディフェンス甫垫疥の攫鼠尸老婶としては碰脸、暗泡弄な攫鼠尸老荚努拉を积っている涩妥があります。
そこで、まずは前掐りに攫鼠を尸老しながら100%の攫鼠尸老么碰荚を誊回します。

庞面で鹅铰の联买をせざるを评ない剂啼もありましたが、100%を茫喇しました。しかしその冯蔡をよく斧ると努拉の充圭だけではなく、爬眶も山绩されるようです。200爬塔爬面50爬くらいしか艰れていないようで、これでは攫鼠尸老婶己呈です。

では肌は、200爬塔爬を誊回してみましょう。

200爬塔爬を艰れたのはいいんですが、海刨は嫡に努拉の充圭が络きく布がってしまいました。

サイバ〖ディフェンス甫垫疥攫鼠尸老婶に滇められる墙蜗はこんなものではありません。攫鼠箭礁墙蜗、攫鼠尸老墙蜗ともに塔爬かつ攫鼠尸老荚努拉が100%である涩妥があります。

ところがこのサイトでは、攫鼠箭礁墙蜗の爬眶が光ければ光いほど攫鼠尸老荚努拉が布がる∈攫鼠箭礁荚努拉が惧がる∷というロジックになっているようです。
坤の面に尉数の墙蜗を敷ね洒えた攫鼠尸老荚は赂哼しないのでしょうか々

そんなはずはありませんよね。どこかに斧皖としている攫鼠があるはずだということで、猖めて儿」まで攫鼠を尸老し木し、揉らのロジックの谭解に末里した冯蔡、痰祸に尉数で塔爬かつ攫鼠尸老荚努拉100%を茫喇することができました。

票じように冉年された数はぜひサイバ〖ディフェンス甫垫疥の滇客にご炳淑ください。

インタ〖ポ〖ルサイバ〖婶嚏塑呈幌瓢

2015钳02奉27泣11:14

ツイ〖ト

daiki_fukumori

オフィシャルコメント

by¨省抗络搭

ここシンガポ〖ルは面糙拂の柜だということもあり、1奉1泣の赖奉よりも奠赖奉(秸泪)のほうが塑碰の赖奉といった炊じでしたので、ようやく糠钳を忿えた炊じです
ご疽拆が觅れましたがインタ〖ポ〖ルの糠しいビルもほぼ窗喇し、すでに度坛を倡幌しております。

BEFORE(2014钳4奉):
IGCI

AFTER(附哼):
IGCI1

候钳驴くの数にご定蜗いただいて棘いた硷は、そろそろ箭诚の箕袋を忿えることでしょう。
塑钳もよろしくお搓いいたします。

毖柜のダブルスタンダ〖ド¨毖柜のようにハッキングするな

2015钳01奉26泣08:00

ツイ〖ト

daiki_fukumori

オフィシャルコメント

by¨省抗络搭

笆布は、毖柜がハッキングしたとされている措度だ。

Belgacom

このベルギ〖の排厦柴家を毖柜がハッキングした妄统はなんだろうか々

啡掠の奶厦を硼陌するためだ。

　—————

ではダブルスタンダ〖ドとはどういうことでしょうか々
ここで毖柜のサイバ〖セキュリティ里维(PDF)を斧てみましょう。(布俐は僧荚によるもの。)

CyberSecurityStrategyUK

4つの灌誊が渺として刁げられています。

毖柜のサイバ〖鄂粗を坤肠で呵もセキュアにする
毖柜をサイバ〖苟封に滦して动抠にする
オ〖プンで、宠蜗があり、奥年したサイバ〖鄂粗の妨喇を锦ける
毖柜のサイバ〖セキュリティに簇する梦急、スキル、墙蜗を动步する

EUの息圭柜をハッキングした柜の里维だというのが慨じられないような、お乖捣のよい滔认豺批が事べられているのです。

では丹を艰り木して泣塑のサイバ〖セキュリティ里维(PDF)を斧てみましょう。

CyberSecurityStrategyJP

≈动抠な∽≈宠蜗のある∽≈客亨伴喇∽≈坤肠を唯黎∽
コピペで侯ったのかと蛔うほど击奶った、奥年の滔认豺批です。

なぜマイクロソフトはサイバ〖苟封に煎いのか々

2014钳12奉05泣12:34

ツイ〖ト

daiki_fukumori

オフィシャルコメント

by¨省抗络搭

廊煎拉が斧つかるたびに、マイクロソフトはセキュリティを动步し渴步を侩げてきました。その滦忽が撬られると、さらにセキュリティを动步して渴步します。
しかし嫡の斧数をすればセキュリティを动步しても撬られている、と咐うこともできます。

マイクロソフトは、セキュリティ倡券ライフサイクル(SDL)という、妄烯腊脸とした慌寥みを倡券挛扩に寥み哈んでいるようでして、これを粕む嘎りでは苟封荚が烧け掐る蜂はなさそうですが、荒前ながらどこかしらから撬られているのは祸悸です。

屯」な络客の祸攫があるのでしょうが、≈どのように撬られるのか∽の祸攫の办眉をうかがい梦るための办つの磊り庚として、祷窖荚羹けにはなりますが、撬られる慌寥みをアセンブリレベルで挛赋していただく措茶をCodeIQの面で眶ヶ奉涟に幌めてみました。

MsIsVulnerable

マイクロソフト澜墒にはデフォルトでセキュリティのための慌寥みが寥み哈まれますが、それらをいかに撬ることができるか∈できたか∷を挛赋いただけるかと蛔います。(面にはSDL笆涟の厦もあります。)

この坤は筛弄房苟封に塔ちている々

2014钳10奉10泣15:08

ツイ〖ト

daiki_fukumori

オフィシャルコメント

by¨省抗络搭

碰澈マルウェアが、このセルフサ〖ビスのプラットフォ〖ム脱のソフトウェアを悸乖しているマシンのみを晾ったものと簿年しても粗般いないだろう。
エフセキュアブログ : NCR家澜ATMのAPIドキュメントが纱刨∈バイドゥ∷で给倡される

いやいや、粗般いあるだろう。NCR家澜笆嘲のATMをお蝗いの度荚の数も奥看してはいけません。

啼玛となっているWOSA/XFSという惮呈は、ウィキペディアでの棱汤によると、ベンダ〖ごとにばらばらだったATMの惮呈を琵办するために侯られた惮呈です。WOSAのOはOpenのOですので、わざわざ纱刨∈バイドゥ∷さんの蜗を稼りなくても茂でもソ〖スコ〖ドレベルで悸刘を缄に掐れることができます。NCR家だって、XFSを蝗っていることを撇」とオ〖プンに离帕しています。

そういうわけですので、≈NCR APTRA XFSソフトウェア∽がインスト〖ルされていなくてもマルウェアは瓢きます。悸狠にmsxfs.dllをインスト〖ルした讳の缄傅にあるWindowsでも瓢いています。

荒前ながら缄傅のWindowsには附垛が掐っていないので、附垛があるかのようにエミュレ〖トしています。
∈エミュレ〖ト婶尸は世家エンジニア(op)により侯喇されました。∷

妥するに、琵办惮呈であるXFSを何脱しているATMであれば蕊巢を减ける材墙拉があるということです。

じゃあ泣塑ではどれだけ何脱されているのかというと、ウィキペディアのXFSのペ〖ジには肌のように今かれています。

泣塑柜柒の肩妥ATM第び奶策借妄怠メ〖カ〖は、ほぼ链ての垛突簇息澜墒で塑惮呈∈奠惹を崔め∷を宠脱している。
CEN/XFS - Wikipedia

攫鼠步黎渴柜シンガポ〖ルを毁える祷窖

2014钳09奉22泣08:29

ツイ〖ト

daiki_fukumori

オフィシャルコメント

by¨省抗络搭

せっかくシンガポ〖ルに交んでいますので、坤肠呵黎眉の攫鼠步家柴を悸附したと咐われるシンガポ〖ルの彻事とその面に忱粗斧える攫鼠步家柴を毁える祷窖をご疽拆しましょう。
鲁きを粕む

バックナンバ〖

Ustream栏面费ア〖カイブ

エフセキュアブログ倡肋1件钳を淡前して6奉8泣に倡号したパネルディスカッションの滔屯をご枉いただけます。

糠缅淡祸

OWASP World Tour Tokyo

トランプ蜡涪のサイバ〖セキュリティ蜡忽

Rakuten Global CISO Summit

THE FIGHT AGAINST CYBERCRIME

QuickPost: さらなる橙络を徒炊させるMirai Botnetの苟封インフラ讨

踏丸のチカラ

マルウェアの悟凰¨ CODE RED∈コ〖ドレッド∷

浮叫ロジックの附觉はどうなっているか

ネットワ〖クレピュテ〖ションの附觉はどうなっているか

橙欢觉斗はどうなってるか

稍哼奶梦のOPSEC∈笨脱惧のセキュリティ∷

IoTはどこで侯られているのか?

スレットインテリジェンスの附觉はどうなっているか

QARALLAX RAT¨势柜ビザ拷懒荚を腻弧

さよならFLASH—妈2.5闷 MICROSOFT EDGEの≈CLICK TO FLASH∽

さよならFlash— 妈2闷 – Firefox、Flashのサポ〖トを≈教井∽へ

サイバ〖鄂粗も庙誊のリオ皋呜

あなたと票じ咐胳への滦炳を活みるULTRADECRYPTER

LOCKYの糠たな络萎乖

督蹋考いベトナム挂鄂などへのサイバ〖苟封鼠苹

カテゴリ

セキュリティ簇息リンク

セキュリティ怠簇

办忍家媚恕客JPCERTコ〖ディネ〖ションセンタ〖(JPCERT/CC)

迫惟乖蜡恕客攫鼠借妄夸渴怠菇(IPAセキュリティセンタ〖)

Security RSSポ〖タル(IPA)

蜡绍簇息

柒痴幢思攫鼠セキュリティセンタ〖(NISC)

沸貉缓度臼睛坛攫鼠蜡忽渡攫鼠セキュリティ蜡忽技攫鼠セキュリティ蜡忽、钝缔攫鼠

另坛臼柜瘫のための攫鼠セキュリティサイト

焚弧模サイバ〖热横滦忽

焚弧模セキュリティポ〖タルサイト△police

衡媚恕客孟数极迹攫鼠センタ〖∈LASDEC∷

セキュリティ簇息媚挛

泼年润蹦网宠瓢恕客泣塑ネットワ〖クセキュリティ定柴(JNSA)

セキュリティ滦忽夸渴定的柴(SPREAD)

フィッシング滦忽定的柴

衡媚恕客泣塑デ〖タ奶慨定柴テレコムˇアイザック夸渴柴的

サイバ〖クリ〖ンセンタ〖

泼年润蹦网宠瓢恕客デジタルˇフォレンジック甫垫柴

衡媚恕客インタ〖ネット定柴(IAjapan)

家媚恕客泣塑インタ〖ネットプロバイダ〖定柴(JAIPA)

WIDE PROJECT

泣塑ネットワ〖クˇオペレ〖タ〖ズˇグル〖プ(JANOG)

泣塑セキュリティオペレ〖ション祸度荚定的柴

インタ〖ネット祷窖妈163把镑柴

泣塑朵乖垛突甫垫疥(IMES)

衡媚恕客垛突攫鼠システムセンタ〖(FISC)

甫垫怠簇ˇ络池

迫惟乖蜡恕客攫鼠奶慨甫垫怠菇(NICT)

迫惟乖蜡恕客缓度祷窖另圭甫垫疥攫鼠セキュリティ甫垫センタ〖(RCIS)

泣塑セキュリティˇマネジメント池柴(JSSM)

客丹淡祸と徊救傅屯办枉

　淡祸ランキング

　徊救傅ランキング∈告伍∷

拒嘿カテゴリ

ヘルシンキ券 (1210)

サンノゼ券 (12)

クアラルンプ〖ル券 (167)

澎叠券 (154)

ロシア券 (1)

オフィシャルコメント (231)

つぶやき (34)

by¨ミッコˇヒッポネン (274)

by¨ショ〖ンˇサリバン (609)

by¨ア〖チュリˇリ〖ティオ (3)

by¨光粗逛诺 (51)

by¨辣叻偷企 (19)

by¨翠版穷践 (70)

by¨省抗络搭 (61)

by¨室怀净符 (2)

by¨杯霍偷皇 (10)

by¨省塑猜喇 (17)

by¨坷拍诞岔 (2)

by¨少奥臀拆 (4)

by¨萨宏リサ (92)

by¨ウェブセキュリティチ〖ム (18)

by¨スレットインサイトチ〖ム (15)

by¨スレットソリュ〖ションチ〖ム (30)

by¨レスポンスチ〖ム (53)

by¨スレットリサ〖チチ〖ム (13)

by¨SecResearch (1)

by¨SecResponse (18)

by¨ヒリアチˇアリア (33)

by¨ブロデリックˇアキリノ (8)

by¨ミカˇスタルバ〖グ (4)

by¨トニˇアラピ〖ルト (1)

by¨ナイˇダン (1)

by¨アンティˇティッカネン (10)

by¨ジャルノˇネメラ (15)

by¨サラˇジャマルディン (5)

by¨エラˇエリクソン (1)

by¨パトリックˇルノ〖 (11)

by¨フェイˇウィンˇチア (5)

by¨カルミナˇアキノ (10)

by¨ティモˇヒルヴォネン (7)

by¨マイケルˇアルブレクト (2)

by¨パトリシア (10)

by¨ドミトリ〖ˇヴィクトロフ (1)

by¨ヤルコˇツルクレイネン (2)

by¨エディルˇカユコム (2)

by¨ SuGim (4)

玻赏券 (36)

メディア簇犯荚の厂屯へ

エフセキュアブログメンバ〖

ミッコˇヒッポネン: エフセキュア CRO∈セキュリティ甫垫疥肩朗甫垫镑∷∈ヘルシンキ∷
(Twitterアカウント)
(甫垫疥Twitter)

ショ〖ンˇサリバン: エフセキュアセキュリティˇアドバイザ〖∈ヘルシンキ∷
(Twitterアカウント)

光粗逛诺: メタˇアソシエイツ洛山
(给及ブログ)
(Twitterアカウント)

辣叻偷企: 臭及柴家セキュアブレイン呵光祷窖勒扦荚
(给及ブログ)
(客湿疽拆)

翠版穷践: デロイトト〖マツリスクサ〖ビス臭及柴家 (×2013钳3奉臭及柴家ラック) 攫鼠セキュリティ络池薄络池　狄镑甫垫镑
(Twitterアカウント)
(客湿疽拆)

省抗络搭: 臭及柴家サイバ〖ディフェンス甫垫疥惧甸尸老幢
CDI-CIRTメンバ〖
(客湿疽拆)

杯霍　偷皇: 臭及柴家FFRI 洛山艰涅舔家墓
(客湿疽拆)

省塑　猜喇: 弛欧臭及柴家
脊乖舔镑
OWASP Japan
アドバイザリ〖ボ〖ド
Rakuten-CERT representative
(客湿疽拆)

坷拍诞岔: エフセキュア臭及柴家プロダクトグル〖プ婶墓

少奥臀拆: エフセキュア臭及柴家プロダクトグル〖プ

コ〖ポレ〖トセ〖ルスチ〖ム: エフセキュア臭及柴家
 (エフセキュアブログ给及Twitterアカウント)

长嘲淡祸溯条 臭及柴家イメ〖ジズˇアンドˇワ〖ズ

エフセキュアメ〖ルマガジン

ブログに很らないメルマガ嘎年攫鼠や、祷窖荚インタビュ〖、澜墒攫鼠、祷窖豺棱を非很して髓奉办搀芹慨します。アドレスのみの判峡で关粕痰瘟。

エフセキュアブログフィ〖ド

エフセキュア簇息リンク

エフセキュアブログＱＲコ〖ド

Ramnit 给山されている炊厉眉琐眶¨320它骆テイクダウン悸卉箕袋¨2015钳2奉肩瞥した怠簇¨ユ〖ロポ〖ル徊雇攫鼠¨极咳をブロックするウイルス
Simda 给山されている炊厉眉琐眶¨77它骆テイクダウン悸卉箕袋¨2015钳4奉肩瞥した怠簇¨インタ〖ポ〖ル徊雇攫鼠¨Simdaボットを纪る3塑の甜
Beebone 给山されている炊厉眉琐眶¨10它骆テイクダウン悸卉箕袋¨2015钳4奉肩瞥した怠簇¨ユ〖ロポ〖ル
Vawtrak 给山されている炊厉眉琐眶¨8它2000骆テイクダウン悸卉箕袋¨2015钳4奉肩瞥した怠簇¨焚浑模
Dridex 给山されている炊厉眉琐眶¨润给倡テイクダウン悸卉箕袋¨2015钳10奉肩瞥した怠簇¨FBI、NCA 徊雇攫鼠¨Dridexの豺挛

by¨省抗 络搭

by¨省抗络搭