マルウエアEmotetへの対応FAQ - JPCERT/CC Eyes
2019年10月以降、日本国内にてEmotetの感染事例が急増しています。JPCERT/CCでは、次の通り注意喚起を発行しています。 JPCERT/CC: マルウエア Emotet の感染に関する注意喚起 https://www.jpcert.or.jp/at/2019/at190044.html JPCERT/CC: CyberNewsFlash マルウエア Emotet の感染活動について https://www.jpcert.or.jp/newsflash/2019112701.html JPCERT/CC: CyberNewsFlash マルウエア Emotet の感染に繋がるメールの配布活動の再開について (追加情報) https://www.jpcert.or.jp/newsflash/2020072001.html JPCERT/CC: CyberNewsFlash マルウェ
攻撃グループBlackTechが使うダウンローダIconDown - JPCERT/CC Eyes
以前のJPCERT/CC Eyesで、攻撃グループBlackTechが使用するマルウエアTSCookieやPLEADについて説明しました。この攻撃グループは、その他にもIconDownというマルウエアを使用していることを確認しています。IconDownがどのような手段によって設置・実行されるかは確認できていませんが、ESET社が公開しているブログ[1]によると、ASUS WebStorageのアップデート機能を悪用して侵入することを確認しているとのことです。 今回は日本の組織で確認されたIconDownの詳細について紹介します。 IconDownの挙動 IconDownは、特定のサイトからファイルをダウンロードします。以下は、IconDownが送信するHTTP GETリクエストの例です。 GET /logo.png HTTP/1.1 Host: update.panasocin.com C
偽JPCERTドメイン名を取り戻すための60日間~ドメイン名紛争処理をしてみた~ - JPCERT/CC Eyes
JPCERT/CCでは2017年2月10日に類似ドメイン名(jpcert.org)を第三者に登録されたことを契機にドメイン名紛争を行い、結果的にこのドメイン名を取り戻しました。不幸にして同様の状況に陥った日本企業においても、所定の手続きを踏むことでドメイン名を取り戻すことができる可能性があることから、対応の一助となることを期待してJPCERT/CCでの事例をご紹介します。 対象読者: 自社・自組織の類似ドメイン名を第三者に登録されてお困りの方 経緯 JPCERT/CCは1996年に正式発足し、それから20年の間jpcert.or.jpというドメイン名を使用してきた。 *iこのドメイン名に似た、jpcert.org(以下「偽JPCERTドメイン名」)というドメイン名が何者かによって登録された。 発端 2017年2月10日に何者かが偽JPCERTドメイン名をPublicDomainRegist
Import APIとFuzzy Hashingでマルウエアを分類する ~impfuzzy~(2016-05-09) - JPCERT/CC Eyes
Top > “マルウェア”の一覧 > Import APIとFuzzy Hashingでマルウエアを分類する ~impfuzzy~(2016-05-09) 一般に、マルウエア検体の調査は、既知のマルウエアかどうかを判別することから始めます。データベース化された多数の既知のマルウエアと調査検体との比較を高速に実行するために、ハッシュ関数をマルウエア検体に施して得られたハッシュ値が利用されます。 ハッシュ関数の中でも、MD5やSHA1などの伝統的なハッシュ関数の場合には、入力データが1ビットでも異なれば、まったく異なるハッシュ値になりますので、完全に同じではないが類似した既知の検体があれば、既知のマルウエアと判定したい場合には役に立ちません。 現在では、カスタマイズされた上で攻撃に使われるマルウエアがほとんどであるため、カスタマイズされた検体を類似していると判断できるようなハッシュ関数が望まれ
攻撃者が悪用するWindowsコマンド(2015-12-02) - JPCERT/CC Eyes
Windows OSには標準で多数のコマンド(以下「Windowsコマンド」といいます。)がインストールされています。しかし、ユーザが実際に利用するのは多くの場合そのうちのごく一部です。一方、侵入した攻撃者も情報を収集し、あるいはネットワーク内で感染を拡大させるためにWindowsコマンドを使っていることをJPCERT/CCの調査で確認しています。ここで注目されるのは、普通の利用者が使うWindowsコマンドの集合と攻撃者が使うWindowsコマンドの集合のずれです。両者が大きく違っていれば、Windowsコマンドの実行状況を監視または管理することで、攻撃者の動きを検知あるいは抑制できることになります。 今回は、攻撃者が侵入したWindows OS上で使用するWindowsコマンドを明らかにし、攻撃者は使うが各ユーザにとっては不要なWindowsコマンドの実行を制限することで、攻撃による影
認証プロキシに対応したPoisonIvy(2015-07-08) - JPCERT/CC Eyes
PoisonIvyと呼ばれるマルウエアが存在します。このマルウエアは、2013年頃まで標的型攻撃で多く使われていました。それ以降は、使われる例が減少してきており、機能拡張のような変化も最近まで見られませんでした。しかし、通信機能の拡張がされたPoisonIvyを、最近、複数の攻撃事例において確認しました。 今回は、PoisonIvyにおける通信機能の拡張について紹介します。 従来のPoisonIvyの通信機能 これまでのPoisonIvyは、独自のプロトコルでC&Cサーバと通信していました。また、プロキシが設置された組織内では、プロキシサーバ情報があらかじめPoisonIvyに設定されているか、Internet Explorerからプロキシ情報を取得する設定が有効になっていれば、CONNECTメソッドまたはSOCKS(バージョン4)を使用して、プロキシ経由でC&Cサーバにデータの送信を試み
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
