2. DDEとは? •“Dynamic Data Exchange” •1987年からあるIPC⼿法の1つ (Win 2.0+、OS/2) •例:3rdパーティソフトが.xlsデータにアクセス •OLEがDDEに取って代わる •互換性のために残されている(T_T) •ターゲット→MS Officeドキュメント、その他?: Word, Excel, Powerpoint, Access, Outlook, OneNote 4. Macro不要のOffice攻撃 •2016/05/20 Sensepost : DDE経由で.xlsからコマンド実⾏ https://sensepost.com/blog/2016/powershell-c-sharp-and-dde-the-power-within/ •2017/10/09 Sensepost : DDE経由で.docからコマンド実⾏ https:/
This cheat sheet outlines tips and tools for analyzing malicious documents, such as Microsoft Office, RTF, and PDF files. To print it, use the one-page PDF version; you can also edit the Word version to customize it for you own needs. General Approach to Document AnalysisExamine the document for anomalies, such as risky tags, scripts, and embedded artifacts.Locate embedded code, such as shellcode,
In this post we will set up a virtual lab for malware analysis. We’ll create an isolated virtual network separated from the host OS and from the Internet, in which we’ll setup two victim virtual machines (Ubuntu and Windows 7) as well as an analysis server to mimic common Internet services like HTTP or DNS. Then, we’ll be able to log and analyze the network communications of any Linux or Windows m
↑マルウェアを動かして 自作 C2 サーバとやりとりをしている図。詳しくはページ下部にて解説 しゅーとです。 去年あたりに、サウジアラビアの金融機関を狙った標的型攻撃があったのですが、その攻撃にDNS トンネリングを用いて情報を外部に送信するマルウェア「Helminth」が使われました。 詳細レポートは Palo Alto Networks の脅威対策チーム Unit42 が出してくれています。 OilRig攻撃活動: サウジアラビアの組織への攻撃でHelminthバックドアを配信 - Palo Alto Networks ちょうど検体も出回っていたので、 Helminth の解析を行い、C2サーバ(C&Cサーバ)を作成してみました。 この記事では、解析の過程で発見した仕様と、マルウェアに馴染みがない方のためのDNSトンネリングの仕組みと概要を記載しています。 DNSトンネリングの仕組み
05.12.2013 Slides about an in depth analysis of CVE-2013-3906 exploiting a TIFF bug inside a Microsoft Office Winword file. This bug was exploited in a targeted attack in November 2013. masTIFF - An in depth analysis of CVE-2013-3906.pptx 25.11.2013 A new version of Officemalscanner/RTFScan has been released. This update includes a generic decryption loop detection, enhanced shellcode patterns and
This is the homepage of Michael Ligh. I am a reverse engineer who specializes in vulnerability research, malware cryptography, and memory forensics. I'm co-founder and CTO of Volexity, a security firm based out of the Washington, D.C. area that specializes in assisting organizations with threat intelligence, incident response, forensics, and trusted security advisory. I'm also a core developer of
Here is a set of free YouTube videos showing how to use my tools: Malicious PDF Analysis Workshop. pdf-parser.py This tool will parse a PDF document to identify the fundamental elements used in the analyzed file. It will not render a PDF document. The code of the parser is quick-and-dirty, I’m not recommending this as text book case for PDF parsers, but it gets the job done. You can see the parser
Unix (general) Rosetta Stone for Unix Windows Debugging Tools for Windows 6.12.2.633 Forcing a System Crash from the Keyboard WinDbg Quick Download Links, Symbols, etc. SystemDump Application Verifier IDA (freeware) StressPrinters Dependency Walker Kernel Memory Space Analyzer MS Debug Diagnostic Tool InstantDump (JIT Process Dumper) UDmp2Txt (processing hundreds of user dumps) TestDefaultDebugger
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く