ETW Forensics - Event Tracing for Windowsを活用したインシデントレスポンス - - JPCERT/CC Eyes
Windows OSのログと言えば、イベントログのことを思い浮かべる人が多いかもしれません。マルウェア感染などのインシデント調査時は、Windows OSのイベントログを調査して、インシデントの解明につながる痕跡を探すことが一般的です。ただし、イベントログはWindows OS上の不審な挙動を検知するために設計されたものではないため、インシデント調査時に欲しい情報が見つかるとは限りません。そのため、監査ログを有効化したり、Sysmonをインストールしてより多くの情報を得るように工夫する必要があります。 Windows OSではイベントログ以外にも、OS内の不審な挙動を検知することができる、Event Tracing for Windows(ETW)と呼ばれる機能が存在します。これは、カーネルやプロセスが発生するイベントを管理するための仕組みで、アプリケーションのデバッグなどに用いられます。
偽ショッピングサイトへ誘導するSEOポイズニング攻撃に使われる「SEOマルウェア」間の関連性を分析 | トレンドマイクロ
オンプレミスからクラウドへの移行をはじめ、ハイブリッドクラウド環境をシームレスに保護しながら、クラウドの利点を実現します。 詳しくはこちら
インターネット定点観測レポート(2024年 7~9月)
1. 概況 JPCERT/CCでは、インターネット上に複数の観測用センサーを分散配置し、一定のIPアドレス帯に向けて網羅的に発信されるパケットを観測しています。こうしたパケットの発信は特定の機器や特定のサービス機能を探索するために行われていると考えられます。JPCERT/CCでは、センサーで観測されたパケットを継続的に収集し、宛先ポート番号や送信元地域ごとに分類して、これを脆弱性情報、マルウェアや攻撃ツールの情報などと対比して分析することで、攻撃活動や準備活動の捕捉に努めています。センサーから収集したデータを分析し、問題が見つかれば、解決できる可能性がある関係者に情報を提供し、対処を依頼しています。 本レポートでは、本四半期にTSUBAME(インターネット定点観測システム)が観測した結果とその分析の概要を述べます。 本四半期に探索された国内のサービスのトップ5は[表1]に示すとおりでした。
wizSafe Security Signal 2024年9月 観測レポート
本レポートでは、2024年9月中に発生した観測情報と事案についてまとめています。 目次 DDoS攻撃の観測情報 IIJマネージドセキュリティサービスの観測情報 Web/メールのマルウェア脅威の観測情報 セキュリティインシデントカレンダー DDoS攻撃の観測情報 本項では、IIJマネージドセキュリティサービスやバックボーンなどでIIJが対処したDDoS攻撃のうち、IIJ DDoSプロテクションサービスで検出した当月中の攻撃を取りまとめました。 攻撃の検出件数 以下に今回の対象期間で検出した、DDoS攻撃の検出件数を示します。 図-1 DDoS攻撃の検出件数(2024年9月) 今回の対象期間で検出したDDoS攻撃の総攻撃検出件数は252件であり、1日あたりの平均件数は8.4件でした。期間中に観測された最も規模の大きな攻撃では、最大で約262万ppsのパケットによって9.74Gbpsの通信が発生
wizSafe Security Signal 2024年8月 観測レポート
本レポートでは、2024年8月中に発生した観測情報と事案についてまとめています。 目次 DDoS攻撃の観測情報 IIJマネージドセキュリティサービスの観測情報 Web/メールのマルウェア脅威の観測情報 セキュリティインシデントカレンダー DDoS攻撃の観測情報 本項では、IIJマネージドセキュリティサービスやバックボーンなどでIIJが対処したDDoS攻撃のうち、IIJ DDoSプロテクションサービスで検出した当月中の攻撃を取りまとめました。 攻撃の検出件数 以下に今回の対象期間で検出した、DDoS攻撃の検出件数を示します。 図-1 DDoS攻撃の検出件数(2024年8月) 今回の対象期間で検出したDDoS攻撃の総攻撃検出件数は379件であり、1日あたりの平均件数は12.23件でした。期間中に観測された最も規模の大きな攻撃では、最大で約426万ppsのパケットによって44.34Gbpsの通信
侵入型ランサムウェア攻撃発生時に残るWindowsイベントログの調査 - JPCERT/CC Eyes
侵入型ランサムウェア攻撃の被害発生時の初動対応で難しいのは、侵入経路の特定です。昨今のセキュリティインシデントの傾向からVPN機器の脆弱性が悪用される可能性が高いことはご存じのとおりかと思いますが、被害発生時に想定される侵入経路は複数あることが多いため、調査に時間を費やしてしまうことが多々あります。そのため、被害端末に残っている暗号化されたファイルの拡張子や脅迫文が書かれたランサムノート等をもとに攻撃グループを推定し、その攻撃グループが過去に使用していた侵入経路を把握した上で、侵入経路の調査にあたることが、スムーズな初動対応を進める上で重要です。ただ、これまでのJPCERT/CCの経験では暗号化されたファイルの拡張子やランサムノートだけでは攻撃グループを特定できなかったことも複数あります。 今回は、そのような攻撃グループ特定のサポートとしてWindowsイベントログの情報が使用できる可能性
NICTER観測統計 - 2024年4月~6月
はじめに NICTER プロジェクトのダークネット観測網における 2024 年第 2 四半期(4月~6月)の観測結果を公開します. 2024 年第 2 四半期の観測統計 総観測パケット数 日毎のパケット数とユニークホスト数の推移 IoT マルウェア の攻撃ホスト数の推移 調査スキャナについて 宛先ポート別パケット数 国別パケット数 2024年第2四半期の観測統計 総観測パケット数 表 1 に総観測パケット数の統計値を示します1. 2024 年第 2 四半期の 1 IP アドレス当たりの総観測パケット数(総観測パケット数を観測 IP アドレス数で正規化した値)は 2024 年第 1 四半期と比較すると減少しました. 日毎のパケット数とユニークホスト数の推移 図 1 に日毎の観測パケット数とユニークホスト数の推移を示します. 5 月 17 日頃の TCP パケット数のピークはアメリカの IP
【crackmes.one】「crackme dady」攻略 - セキュリティ猫の備忘録
はじめに crackmeの攻略の備忘録になります(攻略までの考え方、ツールの使い方をまとめるのを目的としています)。 静的解析・リバースエンジニアリングの練習としてツールを使いこなせるようにすることを目指しています。 はじめに crackmeとは crackmes.oneとは 攻略 対象ファイル「crackme dady」 デコンパイル 実行 デバック crackmeとは リバースエンジニアリングスキルをテストするために設計されたプログラムとなります。そのプログラムの挙動・仕様から解析し、攻略しているものになります。 crackmes.oneとは リバース エンジニアリング スキルを向上させるためにcrackmeのプログラムをダウンロードできるサイトになります。 crackmes.one 攻略 対象ファイル「crackme dady」 今回対象とするファイルは以下のものとなります。 Cra
wizSafe Security Signal 2024年7月 観測レポート
本レポートでは、2024年7月中に発生した観測情報と事案についてまとめています。 目次 DDoS攻撃の観測情報 IIJマネージドセキュリティサービスの観測情報 Web/メールのマルウェア脅威の観測情報 セキュリティインシデントカレンダー DDoS攻撃の観測情報 本項では、IIJマネージドセキュリティサービスやバックボーンなどでIIJが対処したDDoS攻撃のうち、IIJ DDoSプロテクションサービスで検出した当月中の攻撃を取りまとめました。 攻撃の検出件数 以下に今回の対象期間で検出した、DDoS攻撃の検出件数を示します。 図-1 DDoS攻撃の検出件数(2024年7月) 今回の対象期間で検出したDDoS攻撃の総攻撃検出件数は337件であり、1日あたりの平均件数は10.87件でした。期間中に観測された最も規模の大きな攻撃では、最大で約1,050万ppsのパケットによって90.64Gbpsの
TSUBAMEレポート Overflow(2024年4~6月) - JPCERT/CC Eyes
はじめに このブログ「TSUBAMEレポート Overflow」では、四半期ごとに公表している「インターネット定点観測レポート」の公開にあわせて、レポートには記述していない海外に設置しているセンサーの観測動向の比較や、その他の活動などをまとめて取り上げていきます。 今回は、TSUBAME(インターネット定点観測システム)における2024年4~6月の観測結果についてご紹介します。日本国内のTSUBAMEにおける観測状況と代表的なポート番号宛に届いたパケットの状況について週次でグラフを公開していますので、そちらもぜひご覧ください。 TP-LINK製のルーターからtelnetを探索する動きについて JPCERT/CCでは、日々TSUBAMEで収集したデータを分析しています。今回紹介する事例としては、あるメーカーの無線LANルーターからTelnetへの探索が、ゴールデンウィーク前ごろから特定のIS
エンジニアが語るMicrosoft Azure, mac OS, GitHub, LINEの脆弱性の見つけ方 | セキュリティブログ | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ
寺村 亮一 博士号取得後、大手コンサルティングファームにてサイバーセキュリティ業務に従事し、大手自動車部品メーカーとのサイバーセキュリティ合弁会社設立などを主導。2020年より現職。その他、CRYPTREC 暗号活用委員など幅広く活動。CISSP / GXPN / 博士(工学) サイフィエフ ルスラン ロシアでシステム管理者/セキュリティエンジニアとして経験を積んだ後、日本でWebアプリケーション、ネットワーク、API、自動車の脆弱性診断に従事。ペネトレーションテストやレッドチーム演習、脆弱性診断ツールの開発・検証を担当。OSEE、OSCP、GXPNなどの資格を持ち、CTFで受賞実績多数。 小池 悠生 2020年、サイバーセキュリティのスタートアップ創業メンバー。2023年GMOイエラエ サイバーセキュリティ事業本部執行役員に就任。ファジングを中心としたサイバーセキュリティに関する研究、コ
wizSafe Security Signal 2024年6月 観測レポート
本レポートでは、2024年6月中に発生した観測情報と事案についてまとめています。 目次 DDoS攻撃の観測情報 IIJマネージドセキュリティサービスの観測情報 Web/メールのマルウェア脅威の観測情報 セキュリティインシデントカレンダー DDoS攻撃の観測情報 本項では、IIJマネージドセキュリティサービスやバックボーンなどでIIJが対処したDDoS攻撃のうち、IIJ DDoSプロテクションサービスで検出した当月中の攻撃を取りまとめました。 攻撃の検出件数 以下に今回の対象期間で検出した、DDoS攻撃の検出件数を示します。 図-1 DDoS攻撃の検出件数(2024年6月) 今回の対象期間で検出したDDoS攻撃の総攻撃検出件数は390件であり、1日あたりの平均件数は13.00件でした。期間中に観測された最も規模の大きな攻撃では、最大で約1,228万ppsのパケットによって110.88Gbps
AsyncRATの解析
AsyncRATとは AsyncRATは、リモートアクセス型のトロイの木馬(Remote access trojan, RAT)であり、2019年にGitHub1でソースコードが公開された以降、その汎用性の高さから現在もばらまき型のRATの1つとして世界中で猛威を振るっています。 ANY RUN2のマルウェアトレンドトラッカーにおいて、本ブログの執筆時点(2024/06/26)で月間3位であることからもその勢いが分かります。 本ブログではAsyncRATの基本的な機能を解説するとともに、2024年5月7日から6月3日までの約1ヶ月間に収集した複数のAsyncRATの亜種を調査し、追加されている機能や展開方法をまとめます。 AsyncRATの基本的な機能 AsyncRATは.NET Framework3でビルドされたRATです。そのため.NETのデバッガでありディスアセンブラでもあるdnSp
wizSafe Security Signal 2024年5月 観測レポート
本レポートでは、2024年5月中に発生した観測情報と事案についてまとめています。 目次 DDoS攻撃の観測情報 IIJマネージドセキュリティサービスの観測情報 Web/メールのマルウェア脅威の観測情報 セキュリティインシデントカレンダー DDoS攻撃の観測情報 本項では、IIJマネージドセキュリティサービスやバックボーンなどでIIJが対処したDDoS攻撃のうち、IIJ DDoSプロテクションサービスで検出した当月中の攻撃を取りまとめました。 攻撃の検出件数 以下に今回の対象期間で検出した、DDoS攻撃の検出件数を示します。 図-1 DDoS攻撃の検出件数(2024年5月) 今回の対象期間で検出したDDoS攻撃の総攻撃検出件数は283件であり、1日あたりの平均件数は9.13件でした。期間中に観測された最も規模の大きな攻撃では、最大で約70万ppsのパケットによって8.15Gbpsの通信が発生
wizSafe Security Signal 2024年4月 観測レポート
本レポートでは、2024年4月中に発生した観測情報と事案についてまとめています。 目次 DDoS攻撃の観測情報 IIJマネージドセキュリティサービスの観測情報 Web/メールのマルウェア脅威の観測情報 セキュリティインシデントカレンダー DDoS攻撃の観測情報 本項では、IIJマネージドセキュリティサービスやバックボーンなどでIIJが対処したDDoS攻撃のうち、IIJ DDoSプロテクションサービスで検出した当月中の攻撃を取りまとめました。 攻撃の検出件数 以下に今回の対象期間で検出した、DDoS攻撃の検出件数を示します。 図-1 DDoS攻撃の検出件数(2024年4月) 今回の対象期間で検出したDDoS攻撃の総攻撃検出件数は239件であり、1日あたりの平均件数は7.97件でした。期間中に観測された最も規模の大きな攻撃では、最大で約526万ppsのパケットによって54.90Gbpsの通信が
【セキュリティ ニュース】4月のDDoS攻撃、54Gbps超の攻撃を観測 - IIJレポート(1ページ目 / 全1ページ):Security NEXT
インターネットイニシアティブ(IIJ)は、4月に同社のサービスやバックボーンで観測したDDoS攻撃の状況を取りまとめた。攻撃件数は前月を上回り、54Gbps超の攻撃も観測したという。 同社によれば、4月に観測したDDoS攻撃は239件。前月の222件から7.7%増加した。増減は見られるものの、2023年10月以降、300件以下で推移している。 1日あたり約8件の攻撃が観測された。日によってばらつきが見られ、10件以上攻撃が観測された日は10日あり、多い日では19件の攻撃が発生している。一方5件以下の日も8日あり、1件しか観測されない日もあった。 期間中、もっとも規模が大きかった攻撃は、「WSD(WS-Discovery)」「SADP」「CoAP」など複数のプロトコルを組みあわせたリフレクション攻撃だった。約526万ppsのパケットにより54.9Gbpsのトラフィックが発生。前月の約6万pp
NICTER観測統計 - 2024年1月~3月
はじめに NICTER プロジェクトのダークネット観測網における 2024 年第 1 四半期(1月~3月)の観測結果を公開します. 2024 年第 1 四半期の観測統計 総観測パケット数 日毎のパケット数とユニークホスト数の推移 IoT マルウェア の攻撃ホスト数の推移 調査スキャナについて 宛先ポート別パケット数 国別パケット数 2024 年第 1 四半期に観測した事象について ロシアの大量のホストからのバックスキャッタの観測 2024年第1四半期の観測統計 総観測パケット数 表 1 に総観測パケット数の統計値を示します1. 2024 年第 1 四半期の 1 IP アドレス当たりの総観測パケット数(総観測パケット数を観測 IP アドレス数で正規化した値)は 2023 年第 4 四半期と比較すると増加しました. 日毎のパケット数とユニークホスト数の推移 図 1 に日毎の観測パケット数,ユニ
DEF CON CTF Qualifier 2024 LiveCTF 2問Writeup - NFLabs. エンジニアブログ
概要 DEF CON CTF Qualifier 2024で、Team Enuは22位の成績を収めました。 本記事では、LiveCTFのdurnkとtrickshotの2問を解説します。 はじめに こんにちは、研究開発部の末廣です。CTFイベントDEF CON CTF Qualifier 20241に、NTTグループ有志と、募集2に応募いただいた学生の合同チームTeam Enu3で参加しました。コンテスト期間は2024/05/04~2024/05/06の48時間と、ゴールデンウィークまっただ中でした。取り組まれた皆様お疲れ様でした! 結果、263チーム中22位の成績を収めました。 当社エンジニアと学生 CTF プレイヤーが NTTグループ有志とともに Team Enu として、#DEFCON #CTF Qualifier 2024 に参加しました。 協力して難問に挑み、22 位の成績をおさ
TSUBAMEレポート Overflow(2024年1~3月) - JPCERT/CC Eyes
はじめに このブログ「TSUBAMEレポート Overflow」では、四半期ごとに公表している「インターネット定点観測レポート」の公開にあわせて、レポートには記述していない海外に設置しているセンサーの観測動向の比較や、その他の活動などをまとめて取り上げていきます。 今回は、TSUBAME(インターネット定点観測システム)における2024年1~3月の観測結果についてご紹介します。日本国内のTSUBAMEにおける観測状況と代表的なポート番号宛に届いたパケットの状況について週次でグラフを公開していますので、そちらもぜひご覧ください。 2023年度の観測状況から見る日本国内の影響について JPCERT/CC では、日々TSUBAMEで収集したデータを分析しています。今回は、2023年度の観測結果から日本国内に関連するインシデント例を振り返ってみたいと思います。 国内外に設置したセンサー宛に届いたパ
wizSafe Security Signal 2024年2月 観測レポート
本レポートでは、2024年2月中に発生した観測情報と事案についてまとめています。 目次 DDoS攻撃の観測情報 IIJマネージドセキュリティサービスの観測情報 Web/メールのマルウェア脅威の観測情報 セキュリティインシデントカレンダー DDoS攻撃の観測情報 本項では、IIJマネージドセキュリティサービスやバックボーンなどでIIJが対処したDDoS攻撃のうち、IIJ DDoSプロテクションサービスで検出した当月中の攻撃を取りまとめました。 攻撃の検出件数 以下に今回の対象期間で検出した、DDoS攻撃の検出件数を示します。 図-1 DDoS攻撃の検出件数(2024年2月) 今回の対象期間で検出したDDoS攻撃の総攻撃検出件数は284件であり、1日あたりの平均件数は9.79件でした。期間中に観測された最も規模の大きな攻撃では、最大で約690万ppsのパケットによって71.11Gbpsの通信が
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
