オープンソースの自動マルウェア解析システム「CAPEv2」のご紹介
NECサイバーセキュリティ戦略統括部セキュリティ技術センターの松本隆志です。今回は、オープンソースの自動マルウェア解析システムの1つである「CAPEv2」について紹介します。 注意: 本ブログの内容の悪用は厳禁です。本ブログの内容を使用したことによって発生する不利益等について筆者はいかなる責任も負いません。 CAPE(Config And Payload Extraction)[1]は、Cuckoo Sandbox [2]を基に開発されたマルウェア自動解析システムの1つです。CAPEは、これまでのCuckoo Sandboxと異なり、マルウェアのペイロードや設定情報の抽出を行う機能が追加されていることが特長です。もともとはPython 2をベースにCAPEv1 [3]の開発が進められていましたが、2019年10月20日にPython3に対応したCAPEv2が公開されました。現在はこちらのバ
東京五輪に関係する日本語のファイル名を持つマルウェア(ワイパー)の解析 | 技術者ブログ | 三井物産セキュアディレクション株式会社
東京五輪に関係するファイルを装った以下のファイル名を持つマルウェアが2021年07月20日(火) 15時頃、VirusTotalにアップロードされたことを確認しました。 【至急】東京オリンピック開催に伴うサイバー攻撃等発生に関する被害報告について.exe 早速ですが、本記事では該当検体の解析結果を共有します。 該当のファイルはVirusTotalにフランスからアップロードされており、ジェネリック検出が多いもののすでに複数のアンチウイルス製品によって検知されていることを確認しています。 図1 VirusTotalにアップロードされた不審なファイル 上記のファイルのプロパティには以下の通り何も情報が付与されていません。 図2 プロパティ情報 該当ファイルはアイコンを見る限りPDFのように見えますが、アイコン偽装されており、フォルダの詳細表示で見た場合は以下のように拡張子がEXEであることがわか
マルウェア解析に必要な素養 - HackMD
本書は、マルウェアが絡んだ事情を体系的にまとめている。攻撃者、防衛者、解析者の各視点から"マルウェア"のチョメチョメを理解することを目標としている。
マルウェア解析に必要な素養 - HackMD
本書は、マルウェアが絡んだ事情を体系的にまとめている。攻撃者、防衛者、解析者の各視点から"マルウェア"のチョメチョメを理解することを目標としている。
想定の範囲内であって問題視されるべきではない (#2947445) | Let's Encryptの証明書、不正広告攻撃に悪用される | スラド
ISRG エグゼクティブ・ディレクターのJosh Aas氏はこういった事態が発生することを予め想定しており、Let's Encrypt のオープンベータ開始から1ヶ月以上前に フィッシング詐欺やマルウェアとの戦いにおける認証局の役割 [letsencrypt.jp](原文は The CA's Role in Fighting Phishing and Malware [letsencrypt.org])というブログ記事を書いてます。 長いので要約すると、 詐欺サイトに対しても平等にDV証明書を発行して良いという考え方もあるし、そうすべきではないという考え方もあるよね。色々な意見があることは承知している。技術的な観点からすると、DV証明書は公開鍵がそのドメインに属することを明白にしているに過ぎず、サイトのコンテンツの内容や運営者が誰であるかについては一切言及していない。でも、アンチフィッシン
OS Xの未解決の脆弱性、新手のインストーラで悪用
新たに見つかったアドウェアインストーラは、OS X 10.10に存在する特権昇格の脆弱性を突いてパスワードを入力しなくてもroot権限を取得し、マルウェアやアドウェアを呼び込むことが可能だという。 米AppleのOS X 10.10(Yosemite)現行版に存在する未解決の脆弱性情報が公開され、この脆弱性を突く攻撃が出回っているのが見つかった。マルウェア対策製品を手掛けるMalwarebytesが8月3日のブログで伝えた。 それによると、Malwarebytesの研究者が新手のアドウェアインストーラを発見してテストしたところ、sudoersファイルが改ざんされていることに気付いた。sudoersはUNIXシェルで、root権限の付与などに使われるファイル。これを改ざんすることにより、パスワードを入力しなくてもUNIXシェル経由で同アプリがroot権限を取得できる状態になっていたという。こ
[ウェブサービスレビュー]マルウェア被害を未然を防ぐ「urlquery.net」
内容:「urlquery.net」は、指定したURLに危険なスクリプトが埋め込まれていないか、無料でチェックできるサービスだ。本サービスを用い、入手したURLに悪意のあるスクリプトが埋め込まれていないかを事前にチェックすることで、マルウェアの被害を未然に防ぐことができる。 「urlquery.net」は、指定したURLに危険なスクリプトが埋め込まれていないか、無料でチェックできるサービスだ。本サービスを用い、入手したURLに悪意のあるスクリプトが埋め込まれていないかを事前にチェックすることで、マルウェアの被害を未然に防ぐことができる。 使い方は簡単で、トップページのフォームに調べたいURLを入力し、「GO」ボタンをクリックするだけ。IPアドレス、ASN、国情報といったサーバの基本情報のほか、ブラックリストへの登録の有無、指定のURLが読み込む画像やスクリプトの安全性がチェックされる。所要時
![[ウェブサービスレビュー]マルウェア被害を未然を防ぐ「urlquery.net」](https://cdn-ak-scissors.b.st-hatena.com/image/square/9efb2e1fbf73812cbb413681269e7564d82943f5/height=288;version=1;width=512/https%3A%2F%2Fjapan.cnet.com%2Fstorage%2F2015%2F05%2F15%2Fb4afd5e4cfb429764d6d3c7cab730eb1%2Furlquery_640.jpg)
#OCJP-112:”マルウェアCookieBomb”のIFRAMEに感染された国内サイト(現在120件以上)
2013年7月17日の追加情報ですが、最新情報を先に報告させて頂きます: 本事件の原因がサイトのFTPアカウントが取られてしまいましたと確認しました。 証拠として、下記はハッキングされた時のFTPロとなります↓ [2013/07/11 21:46:54] xxxxxxxx 71.89.72.41: C="PASS (hidden)" B=- S=530 [2013/07/11 21:46:55] xxxxxxxx 83.138.146.85: C="USER xxxxxxxx" B=- S=331 [2013/07/11 21:46:55] xxxxxxxx 83.138.146.85: C="PASS (hidden)" B=- S=230 [2013/07/11 21:46:55] xxxxxxxx 83.138.146.85: C="SYST" B=- S=215 [2013/07/
ご家庭でできる簡単マルウェア自動解析システム│セキュリティ・リサーチのフォティーンフォティ技術研究所
先端技術研究部の本郷です。 今回は、マルウェア自動解析システムを作って、解析結果を集計してみたいと思います。 題して「ご家庭でも簡単にできるマルウェア自動解析システムの作り方」です。 はじめに 1日あたり10万もの新種マルウェアが発生していると言われています 。 膨大なマルウェアを手動で解析していくのは非現実的ですので、自動で解析する仕組みが必要になります。 システムの構築 まず、マルウェアを自動解析する部分では、Cuckoo SandboxというOSSの自動解析システムを使用します。 Cuckoo Sandbox http://www.cuckoosandbox.org/ 現在はバージョン0.6が最新版となっています。 インストールは少々癖がありますが、ここはがんばってドキュメントを参考にインストールしたことにします。 Cuckoo Sandboxはデフォルト設定では、レポートをHTM
Webサーバを狙うマルウェア、NginxやLighttpdにも感染
マルウェア「Linux/Cdorked.A」はApacheだけでなくNginxやLighttpdのWebサーバにも感染を広げ、これまでに400を超すWebサーバで感染が確認されているという。 Webサーバを改ざんし、悪質サイトにリクエストをリダイレクトするマルウェア「Linux/Cdorked.A」が見つかった問題で、セキュリティ企業のESETは5月7日、このマルウェアがApacheだけでなく、NginxおよびLighttpdのWebサーバにも感染を広げていることが分かったと報告した。 Linux/Cdorked.Aは侵入先のコンピュータにバックドアを開き、脆弱性悪用ツールキットの「Blackhole」を仕掛けたWebサイトにトラフィックをリダイレクトするなどの機能を持つ。ESETによると、7日の時点で400を超すWebサーバで感染が確認され、人気の高いWebサイトがそのうちの50を占める
おさまらぬWeb改ざん被害、Apacheモジュールの確認を
おさまらぬWeb改ざん被害、Apacheモジュールの確認を:「ゆかしメディア」や「琴浦さん」などでも被害 3月中旬以降、複数のWebサイトで、Webサーバ「Apache」に不正なモジュール「Darkleech Apache Module」が仕込まれ、アクセスしてきたユーザーのPCをマルウェアに感染させる被害が相次いで報告されている。 2013年3月中旬以降、複数のWebサイトで、Webサーバ「Apache」に不正なモジュール「Darkleech Apache Module」が仕込まれ、アクセスしてきたユーザーのPCをマルウェアに感染させる被害が相次いで報告されている。 環境省のWebサイト「CO2みえ~るツール」での改ざんが端緒となり、セキュリティベンダなどが国内向けに警告を発してから1週間ほど経つが、被害は引き続き発生している。3月22日にはアブラハム・グループ・ホールディングスが運営す
韓国サイバー攻撃に使われたマルウェア、MBRを上書きし起動不能に
韓国で3月20日、放送局や金融機関のPCがマルウェアに感染してコンピュータシステムが一斉にダウンした件に関連し、韓国インターネット振興院(KISA)は3月21日、専用の駆除ツールを開発し、配布を開始した。またセキュリティ企業も、原因となったマルウェアについての情報を公開し始めている。 この事件は2013年3月20日14時過ぎに発生した。KBSやMBC、YTNといった放送局と新韓銀行などの金融機関でコンピュータネットワークがダウンし、ATMが使えなくなるなど、業務に支障が生じた。韓国政府の放送通信委員会ではこれを受け、官民軍合同の対策チームを立ち上げ、対策と攻撃元の調査に当たっている。 KISAによると、被害に遭った機関から収集したマルウェアは、2013年3月20日14時に動作するようスケジュールされていた。この結果、複数のPC/サーバのシステムブート領域(Master Boot Recor
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
韓国へのサイバーテロ、論理爆弾の仕組みが判明