9002 RAT と LNK - @port139 Blog
9002 RAT についての記事、persistence の仕組みとしては LNK ファイルを利用。 www.proofpoint.com スタートアップに UpdateCheck.lnk を作成、中身としては Powrshell を利用する仕組みとなっているようです。 プロパティを確認 バイナリを確認 スタートアップに LNK ファイルが作成された状態で、Autoruns を利用して結果を確認してみます。(Windows 10環境上でAutorunsを実行) LNKファイルの登録は確認できますが、参照されている Powershell の部分を確認できない状況です。 GUI 版では黄色ハイライトとなりファイルが無い状態となりますが、コマンドライン版での実行結果でも同じく参照先ファイルが無い結果となります。 <2017/9/3 Update> LECmd Version 0.9.7.0 を利
例題「電子メールに添付されたマルウェア」に感染を分解する - @port139 Blog
例えばトレーニングで「電子メールに添付されたマルウェアに感染」したケースを説明しなければいけないとします。 受講者が事前に学習する必要がある項目には何があるのでしょうか?、関連する技術要素として、どこまで事前に知っている必要があるのか?という点を考えてみたいと思います。 受信した電子メールには圧縮ファイルが添付されていました。この圧縮ファイルにはパスワードが設定されており、展開ツールを使ってファイルを取り出す際にパスワードが求められるようになっており、ウイルス対策ソフトは中身を確認する事ができない仕組みになっています。 圧縮ファイルのパスワードは電子メール本文に書かれており、本文内に書かれたパスワードを入力する事でファイルを取り出す事ができます。取り出されたマルウェアプログラムが人間により“実行”される事でコンピュータがマルウェアに感染する事になりました。 この例を理解し調査する為には、ど
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
