独立行政法人「情報処理推進機構(IPA)」は30日、同機構に情報が寄せられたソフトウエアの欠陥のうち、開発者と連絡がとれない「連絡不能案件」について、開発者による「修正版」がなくても、欠陥内容を公表できるようにガイドラインを改定した。利用者に注意喚起するのが狙い。実際に公表する案件はIPAが欠陥を検証したうえで選ぶ。最初の公表は今冬ごろになりそうという。 IPAは、ソフトの欠陥情報が寄せられた場合、セキュリティー調整組織のJPCERTコーディネーションセンターと協力して開発者に告知し、修正版を用意させたうえで情報を公表している。悪意ある攻撃者に、欠陥を利用する時間の余裕を与えないためだ。
A couple of months ago a RTF 0-day was used in attacks and to bypass ASLR (Address Space Layout Randomization) it was using a non-ASLR module MSCOMCTL.OCX. This got me interested to research into how it was actually loading up and discover if there were any more modules that could be used in the future following the recent Microsoft bulletin MS14-024 that finally implemented ASLR on the module. I
5月某日、ある検体を入手しました。この時点ではマルウェアなのかどうかは不明でしたが、様々なツール(VirusTotal、サンドボックス、IDA Proなど)の解析の結果は壊れているファイルとなっており、正しい解析結果が得られませんでした。そのため、手動で解析することになりました。 その解析の流れと結果を書きます。 ■バイナリエディタで目grep まずはファイルタイプの調査から開始しました。 図1、バイナリエディタ 見ての通り、PEファイルです。ただし、後半部分に白い線がたくさん入っていたり(NULLバイトが連なっている)、中盤が赤い(ASCIIコードが多い)割には意味のありそうな文字列は見当たらなかったりと難読化、暗号化が施されているPEファイルではないかと推測しました。 ちなみにVirusTotalにアップロードした結果、検出率は5/52と低めで、ここでもファイルが壊れている旨の検知結果
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く