音声で脅迫するランサムウェア「Mazeランサムウェア」の内部構造を紐解く | 調査研究/ブログ | 三井物産セキュアディレクション株式会社
7月中旬、Mazeランサムウェアの被害を受けたと思われる日本国内の企業のデータが攻撃者のWebサイトで公開されたことが一部で話題になりました。 Mazeランサムウェアは過去にChaChaランサムウェア(暗号アルゴリズムのChaChaを使用することからの由来)と呼ばれていたランサムウェアの亜種であり、2019年5月に初めて存在が確認され、感染経路としてはこれまでにスパムメールへの添付や脆弱性の利用、ネットワーク侵入などの経路が確認されています。 Mazeランサムウェアを操る攻撃者の大きな特徴は、ランサムウェアによって暗号化を行う前にすでに被害者端末からデータを盗み出しており、身代金支払いの要求に応じない場合はそれらの窃取データを実際に公開するという点です。最近はMaze以外の他のランサムウェアを用いた攻撃においてもこの流れが見られており、ランサムウェア感染と情報流出の2点は切り離せないものと
SNAKE(EKANS)ランサムウェアの内部構造を紐解く | 技術者ブログ | 三井物産セキュアディレクション株式会社
ここ数日ホンダがサイバー攻撃を受けたというニュースが世界各国で報じられています。 本記事では、一部で関連性が指摘されているVirusTotalにアップロードされたSNAKEランサムウェアの検体(※)について解析を行い、現時点までに判明した内容を簡単ですが共有します。海外ではすでにいくらか情報は出ているものの、日本語での解析記事はあまりないと思われるため何かの参考になれば幸いです。 ※ハッシュ値:d4da69e424241c291c173c8b3756639c654432706e7def5025a649730868c4a1 なお弊社では、本検体がホンダに対するサイバー攻撃と関連があるかどうかは把握しておらず、本記事はあくまで上記ハッシュ値の検体の解析結果に終始している点をご了承ください。 ■検体調査 まず、当該検体は以下の通り、日本国内から6/8頃にVirusTotalにアップロードされてい
標的型攻撃ランサムウェア「MegaCortex」の内部構造を紐解く | 技術者ブログ | 三井物産セキュアディレクション株式会社
はじめに MegaCortexは2019年5月に発見された比較的新しい標的型攻撃ランサムウェアであり、一部ではEmotet、Qakbot(Qbot)に感染した端末からMegaCortexの感染がみられるケースもあると報告されています。最近再び活発になっているEmotetは元々ダウンローダーの性質もあるため、Emotetの感染後にMegaCortexなどのランサムウェアがダウンロードされ多重感染する可能性は十分有り得ます。また、最近のMegaCortex感染事例ではハッキングで侵入した攻撃者のPsExecを用いたリモート実行による感染とみられるケースもあるようです。 MegaCortexは、OSの正規プログラムで実現できる挙動は極力それら正規プログラムに任せることで一般的なセキュリティ対策製品が誤検知を恐れる領域にフィールドを移そうとする動きがあります。ファイルの暗号化の最後には、フォレンジ
Black Hat USA2019 SMB・NTLM解説編 | 技術者ブログ | 三井物産セキュアディレクション株式会社
Black Hat USA2019およびDEFCON27に参加してきました。Black HatやDEFCONの説明はこちらをご覧ください。筆者は業務でTLPT支援やペネトレーションテストを担当しているため、業務に関連するセッションを中心に聴講しました。その中で、興味深いセッションがあったのでご紹介したいと思います。 Marina Simakov氏、Yaron Zinar氏によるFinding a Needle in an Encrypted Haystack: Leveraging Cryptographic Abilities to Detect the Most Prevalent Attacks on Active Directoryでは、NTLM Relay(中間者攻撃)の既知の手法(CVE-2015-0005)および新しい手法(CVE-2019-1019)などについて紹介されてい
パスワードってどこにあるの?その1 | 技術者ブログ | 三井物産セキュアディレクション株式会社
筆者はペネトレーションテストなどを担当しており、お客様が利用されているシステムや端末などにセキュリティ上の問題があるか調査します。業務の中でよくWindowsに認証情報などが残存していないかくまなく調べますが、特定の条件を除き、利用されているアカウントの生のパスワードはWindows上には保存されていません。では、Windowsはどうやって認証情報をチェックするのでしょうか。Windows内部やActive Directoryでのパスワードの管理などについて、2回にわけてご紹介したいと思います。今回は、Windows内部でパスワードはどのように保存されており、どのように認証が行われているかご紹介したいと思います。 Windowsはアカウント名とパスワードによる認証以外にもバージョンによってスマートカードなどの多要素認証もサポートしています。また、アカウント名とパスワードによる認証もActi
脅威ベースペネトレーションテストについて | 技術者ブログ | 三井物産セキュアディレクション株式会社
『諸外国の脅威ベースのペネトレーションテスト(TLPT)に関する報告書公表について』や『「脅威ベースのペネトレーションテスト」及び「サードパーティのサイバーリスクマネジメント」に関するG7の基礎的要素の公表について』が公開され、脅威ベースのペネトレーションテスト(TLPT)に関して最近、話題に上がることが増えてきたので、ご紹介したいと思います。 TLPTはThreat-Led Penetration Testの略で脅威ベースのペネトレーションテストです。まず、ペネトレーションテストという言葉ですが、多くの方からご相談をいただいており、認知度は高まっているのではないかと感じていますが、脆弱性診断(Webアプリケーション診断やNW診断など)と混同されているケースも散見されます。以下の通り、脆弱性診断とペネトレーションテストはそれぞれ目的が異なるため、目的に合わせてそれぞれのサービスを利用してい
流行マルウェア「EMOTET」の内部構造を紐解く | 技術者ブログ | 三井物産セキュアディレクション株式会社
EMOTETというマルウェアは2014年にはじめて確認されて以来、様々な変化を遂げてきました。当初はオンライン銀行の認証情報窃取を主な目的としたオンラインバンキングマルウェアとして認知されていましたが、その後、様々な変更が加えられ、現在においては2014年出現当時とは全く異なる挙動や目的を持ったマルウェアとなっています。 2018年末現在、EMOTETは世界中で積極的に拡散され被害拡大が懸念されており、日本国内も例外ではなく、様々な企業へEMOTETの感染を狙った不正メールが届いている状況にあります。 そうした状況にもかかわらず、少なくとも国内においては、今のところ現在のEMOTETに関する感染から挙動に至るまでのまとまった情報が見当たりません。 そのため、今年11月~12月に実際の国内企業への攻撃で使用されたEMOTETの不正メールを元に、我々が調査した結果と現在のEMOTETの全体像を
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
