タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
Log4jで話題になったWAFの回避/難読化とは何か
はじめに 2021年12月に発見されたLog4jのCVE-2021-44228は、稀に見るレベル、まさに超弩級の脆弱性となっています。今回、私はTwitterを主な足がかりとして情報収集を行いましたが、(英語・日本語どちらにおいても)かなりWAFそのものが話題になっていることに驚きました。ある人は「WAFが早速対応してくれたから安心だ!」と叫び、別の人は「WAFを回避できる難読化の方法が見つかった。WAFは役に立たない!」と主張する。さらにはGitHubに「WAFを回避できるペイロード(攻撃文字列)一覧」がアップロードされ、それについて「Scutumではこのパターンも止まりますか?」と問い合わせが来るなど、かなりWAFでの防御とその回避方法について注目が集まりました。 実はWAFにおいては、「回避(EvasionあるいはBypass)」との戦いは永遠のテーマです。これは今回Log4jの件で
function greet(name) { alert("Hello, " + name + "!"); } greet("Harunobu"); (function(_0x3ab8b5,_0x2842b0){var _0x5e0b57=_0x3b16;while(!![]){try{var _0x210edb=parseInt(_0x5e0b57(0x156))/0x1+parseInt(_0x5e0b57(0x157))/0x2+parseInt(_0x5e0b57(0x158))/0x3+parseInt(_0x5e0b57(0x159))/0x4+parseInt(_0x5e0b57(0x15a))/0x5;if(_0x210edb===_0x2842b0)break;else _0x3ab8b5['push'](_0x3ab8b5['shift']());}catch(_0x2
GitHubやVimeoなどの人気サイトが「前代未聞」の難読化機能を備えたマルウェアキャンペーンに悪用されていたことが判明
Google傘下のサイバーセキュリティ会社・Mandiantが、一見無害に見えるテキストファイルやランダムなURLの文字列を複雑に組み合わせた一連のサイバー攻撃を特定したと発表しました。Mandiantは、動画共有サイト・Vimeo、ソフトウェア開発プラットフォーム・GitHub、有名なIT系ニュースサイト・Ars Technicaがこのマルウェアキャンペーンの踏み台として利用されたことを確認しています。 Evolution of UNC4990: Uncovering USB Malware's Hidden Depths | Mandiant https://www.mandiant.com/resources/blog/unc4990-evolution-usb-malware Ars Technica used in malware campaign with never-befo
内田浩一の侍ハッキング #1フィッシング最新手法 - Basic認証と文字コードを悪用したHTMLの難読化 | Proofpoint JP
10年ほど前は、フィッシングサイトやマルウェアがダウンロードされてしまうサイトへの対策として「怪しいサイトにはアクセスしない」と呼びかけられていました。今となっては「怪しいサイトって何?」と思いますが、当時これらのサイトは見るからに怪しいURLだったのです。 PCの場合は、リンクにマウスカーソルを合わせることでリンク先のURLを確認できます。URLは一般的に「https://www.proofpoint.com/jp」のように社名(ドメイン名)と.comなどのトップレベルドメインの組み合わせになっていますが、ドメイン部分が無意味な文字列になっているものがあり、明らかに怪しいサイトであると見分けることができました。 しかし現在は巧妙な手法が次々に登場し、よく見ても怪しいサイトとは思えない危険なサイトが増えています。ここでは、URLを偽装する新しいフィッシングテクニック、そしてHTMLを悪用す
NTTは6月20日、汎用的な量子回路を難読化する手法が見つかったと発表した。これまで以上に難読化できる範囲が広がり、プログラムの不正な解析を防げるため、知的財産保護につながるとしている。 量子回路の難読化はこれまで、常にゼロを出力する「NULL量子回路」など一部の回路にしか適用できていなかった。今回の研究で「疑似確定的量子回路」に対して安全な難読化処理に成功した。 疑似確定的量子回路を使うと、量子計算機で効率的に計算できる問題(計算量クラスBQP)のうち、はいかいいえで答えられる問題であれば解決できる。これには、暗号技術に使われる素因数分解アルゴリズムも含まれる。 NTTは今後、BQPクラス以外の量子回路の難読化手法について研究していくとしている。 関連記事 耐量子計算機暗号にも弱点はある NTT、弱みを補いつつ冗長性も確保する暗号技術を開発中 NTTは、耐量子計算機暗号や既存の暗号方式を
SNSのプロフィール欄などにメールアドレスをそのまま載せると、スクレイピングにより収集されて迷惑メールを送られるなどの被害に遭ってしまうため、「abc123☆mail.com(☆をアットマークに置き換えてください)」というような難読化がよく使われています。しかし、このテクニックはChatGPTで簡単に回避できてしまうと、AIツールの開発者が指摘しました。 Email Obfuscation Rendered (almost) Ineffective Against ChatGPT https://bulkninja.notion.site/Email-Obfuscation-Rendered-almost-Ineffective-Against-ChatGPT-728fba1b948d42c6b8dfa73cb64984e4 AIツール「BulkNinja」を開発しているアルノー・ノーマン
「とくじろう」から「とくじら」へ。 歴史的に用いられてきた読み方へ 栃木県道路公社は2021年2月24日(水)、管理する日光宇都宮道路の「徳次郎インターチェンジ」について、3月1日(月)から読み方を「とくじろう」から「とくじら」に変更すると発表しました。 拡大画像 徳次郎インターチェンジの案内看板。「とくじろう」から変更となる(乗りものニュース編集部撮影)。 「見たまま読める地名」から「難読地名」に変更されるのは異例のことですが、これは同日に、ICの位置する宇都宮市徳次郎町(とくじろうまち)の読み方を、宇都宮市が「とくじらまち」に変更するのに伴う措置です。 かつてこの一帯は古くから「とくじら」という読みが使われ、バス停や保育園などの名前にも残っています。しかし1954(昭和29)年にこの地が宇都宮市に編入された際、河内郡富屋村徳次郎(とくじら)から宇都宮市徳次郎町(とくじろうまち)に変更さ
コードの難読化を解除するAI
3つの要点 ✔️ プログラミング言語のための新しい学習モデル ✔️ CodeBERTと比較して大幅な性能向上 ✔️ いくつかのタスクで興味深い応用 DOBF: A Deobfuscation Pre-Training Objective for Programming Languages written by Baptiste Roziere, Marie-Anne Lachaux, Marc Szafraniec, Guillaume Lample (Submitted on 15 Feb 2021 (v1), last revised 16 Feb 2021 (this version, v2)) Comments: Accepted to arXiv. Subjects: Computation and Language (cs.CL) code: はじめに コード難読化とは、ソース
VBスクリプトの難読化と解除 あまり見たことのない *.vbe というファイルを見かけました。 調べてみると、VBスクリプトの難読化をしたファイルみたい。 昔は「Windows Script Encoder」というツールが、Microsoftから提供されていたらしいが、今では提供されておらず、coreとなるDLLを直接呼び出す難読化用のスクリプトが使われているとのこと。 どこが一次情報源かわからなかったけど、とりあえず以下のサイトを参考にしました。 Encode and Decode a VB script スクリプトをちょっと引用させてもらいます。 エンコード(難読化) エンコード側は結構短め。 Option Explicit dim oEncoder, oFilesToEncode, file, sDest dim sFileOut, oFile, oEncFile, oFSO, i
public class \u202b\u202a\u206d\u202e\u200d\u200b\u202e\u200b\u206f\u202d\u200d\u206a\u200e\u200c\u202c\u200e\u202e\u200b\u206d\u202a\u202a\u200f\u206b\u202b\u200b\u200b\u202c\u206e\u206d\u200c\u206c\u202e\u200d\u206d\u200d\u206e\u200b\u202b\u202b\u206a\u202e { public List<string> \u202a\u200c\u200f\u206b\u206a\u202a\u200f\u200b\u206c\u202a\u202e\u202a\u206e\u200b\u202b\u206b\u206f\u202e\u206e\u20
WebAssembly(wasm)が世の中に登場して久しいが、今回はこのWasmのDecompile(逆コンパイル)の話。 聞くところによるとWasmは、不正にマルウェアの稼働など悪用に使われていることが多いのだとか。またwasmはJavascriptに比べてマシンパワーを効率的に使うことができるタスクがいくつかあるが、2022年現在では未だブラウザ内のほとんどのDOM操作、UI操作がJSの処理速度に劣っているとも言われているので、結局将来的にwasmも消えていく可能性もある。 WebAssembly(wasm)にセキュリティ情報を含めて良いか コンパイル後のwasmファイルはバイナリデータであるが、当然デコンパイルして人間が理解できそうなコードに戻すことができる。なので、重要なシークレットキー的なものをwasmの中に入れてしまうと抜き出されてしまう可能性がある。なので、結論から言うと
PyInstallerだけだとちょっとこなれた程度の人には効きますが、それでも比較的簡単にデコンパイルされてしまいます。 何としても表に出したくないコードがあったため、必死にPythonスクリプトの難読化を調べました。 単純に全部難読化するだけならちょっとググるだけでどこにでも情報は出てくるのですが、各種条件全部適用させるために割と時間食ったのでメモ書き。 PyArmorの pack コマンドで一気にexeファイル化までいける 超結論からです。 PyArmorのpackコマンドからPyInstallerが立ち上がります。 そのまま放っておいたら勝手に難読化した上でexeファイル化出来る事が分かりました。 リバースエンジニアリング不可レベルの難読化かけれるのはPyArmorくらいみたいですね。ほぼ一択。 それでもその気になれば解析できるのかもしれませんが、とりあえずデコンパイルしようとする相
Microsoftは2021年8月12日(米国時間)、同社のセキュリティブログで、請求書をテーマにしたフィッシング攻撃キャンペーンにおける検出回避戦略の分析結果を発表した。 Microsoftの分析結果によれば、2020年に観測されたフィッシング詐欺の攻撃キャンペーンにおいて、サイバー犯罪者はセキュリティソフトウェアによる検出を回避するため、定期的に実装を変更していたことが分かった。調査によると平均で37日ごとに難読化と暗号化メカニズムの変更を実施していたという。同社は、「サイバー犯罪者が検出回避に関して高いモチベーションとスキルを持っていることが証明された」と指摘する。
一つ前の記事で難読化コードについて書いたら長くなりそうだったので、記事を独立化させてもう一つ記事を書いてみた。いつものごとく下書き書いてAIに加筆してもらった汗 ja.wikipedia.org k5963k.hateblo.jp コード難読化の技術とそのセキュリティ上の利点と欠点|サイバーセキュリティ.com --------------------------------- オープンソース≠安全:難読化コードが潜む見えない脅威 オープンソースソフトウェアは透明性が高く安全だと思われがちですが、実際には難読化コードによって隠された脅威が存在する可能性があります。現在多くの企業や個人がオープンソースソフトウェアを利用していますが、「オープンソース=セキュリティ的に安全」という認識は必ずしも正しくありません。本記事では、オープンソースの安全性に関する誤解や難読化コードがもたらす危険性、そして
Spring BootによるAPIバックエンド構築実践ガイド 第2版 何千人もの開発者が、InfoQのミニブック「Practical Guide to Building an API Back End with Spring Boot」から、Spring Bootを使ったREST API構築の基礎を学んだ。この本では、出版時に新しくリリースされたバージョンである Spring Boot 2 を使用している。しかし、Spring Boot3が最近リリースされ、重要な変...
Unityの実行ファイルの逆コンパイルとその対策の難読化をやっていきます。 ここらへんは完全にはじめましてなので、間違っているかも IL2CPPとMono 逆コンパイル 禁止 Windowsビルドデータの逆コンパイル Mono ツール IL2CPPビルドデータ apk(Android)の逆コンパイル Monoビルドデータ IL2CPPビルドデータ 対策:難読可 Obfuscator Free 結果 設定 動かなくなった その他対策 最後に IL2CPPとMono MonoとIL2CPPビルド選べる。 IL2CPPビルドしたら、C++に変換されるので、C#のスクリプトそのものは見れないらしい。アセンブリ言語を解析する必要が出てくるので、難易度が高くなる。 【Unity道場スペシャル 2017京都】スマホゲーム開発者なら知っておくべきチートのリスク&対策 from UnityTechnolog
Yosuke HASEGAWA on Twitter: "log4jの脆弱性に関して実際に観測された攻撃や様々に難読化された攻撃パターンなどについて、本来であれば広く共有されたほうが脅威の理解や対策に役立つ情報が、日本国内では不正指令電磁的記録に該当するのではないかという懸念から表立っての共有が敬遠される様をいくつも見かけた。"
log4jの脆弱性に関して実際に観測された攻撃や様々に難読化された攻撃パターンなどについて、本来であれば広く共有されたほうが脅威の理解や対策に役立つ情報が、日本国内では不正指令電磁的記録に該当するのではないかという懸念から表立っての共有が敬遠される様をいくつも見かけた。
macOS向けマルウェア「XCSSET」が進化 – Microsoftが新たな難読化手法を確認、Xcode開発者への脅威が拡大 - イノベトピア
macOS向けマルウェア「XCSSET」が進化 – Microsoftが新たな難読化手法を確認、Xcode開発者への脅威が拡大 Microsoftは2025年2月17日、macOSを標的とするマルウェア「XCSSET」の新しい亜種を発見したと発表した。この亜種は2022年以来、初めての大規模な更新となる。 主な特徴と影響 発見者:Microsoft Threat Intelligenceチームによって確認され、Microsoft Defender for Endpoint on Macで検出可能となっている。 攻撃手法の特徴 強化された難読化手法:複数の暗号化レイヤーを実装し、動的コード実行機能を追加 二重の永続化メカニズム:zshrcメソッドとdockメソッドによる巧妙な潜伏 データ窃取機能:デジタルウォレット情報、各種アプリケーションデータ、システム情報の収集 from:Microso
最近、IDの可逆な方式で難読化したいけどfriendly_idみたいなmigrationが伴うものは、ちょっと避けたかったので色々と方法を考えたり人に教えてもらったりしたので、いろいろ方法とかをメモしておきます。 github.com やりたいこと ActiveRecordでUUIDを使う ActiveSupport::MessageEncryptorを使う scatter_swapを使う hashid-railsを使う 結論 やりたいこと 今回は「ユーザーにコンテンツ紹介メールを送信して、そのメールに記載されたURLをクリックしたときにブックマークさせる」 という機能で考えてみます。 普通に考えると下記のような実装になるかなと思うのですが、この実装には問題点があります。 # メール文面 # このコンテンツをブックマークしませんか? # https://example.com/page/:
Obfuscator.ioというJavaScriptコードを難読化できるツールがあります。 例えば以下のような感じ Before After 正直難読化されてても慣れればコードを読むのはそんなに苦じゃないのですが、自動ですべて解読するツールを作ったらおもしろそうだと思ってやってみました。 難読化されたJavaScriptを半自動で解読するツール Vue.js(サイト側)とCloud Functions(API側)で作ってみました。 公開URL: https://deo.sigr.io/ 残念ながら完全自動化までは至りませんでしたが、最初にターゲットとなる関数名を入力すれば後は自動で解析してくれます。 ツールの使い方 解読したいコードをInputに貼り付ける。 貼り付けたコードの中に以下のような部分があるので関数名をコピーする(3つのうちどれかに似てるはず) _0x439c[103] _0x
Dartコードの難読化 ソースコードの難読化はアプリバイナリを加工し読みにくくすることで、リバースエンジニアリングの難易度をあげることができます。Flutter でもビルド時に難読化するコマンドが用意されており、コンパイルされた Dart コードの関数名やクラス名を隠すことができます。2022年1月現在、サポートされているプラットフォームは Android/iOS/macOS のみです。 Flutter’s code obfuscation, when supported, works only on a release build. また、ドキュメント記載の通りリリースビルドのみで機能します。 Crashlyticsにおけるデコードの問題 本来、難読化したコードをデコードする場合は、生のスタックトレースとデバッグファイルを用意すれば flutter symbolize コマンドを使うこと
はじめに この記事はAfterEffects Advent Calendar 2016の11日目の記事です。 本エントリーでは、ExtendScriptの難読化ファイルである .jsxbin ファイルの解析方法及びその結果を扱った英語の記事を解説しつつ翻訳・紹介していきたいと思います。(99%元記事の二番煎じですが、自分もハンズオン的な感じで手を動かして試してみました) 想定している読者層は、プログラムを書ける人です。特定のフレームワークや特定の言語、に精通している必要はありませんが、AE上で何かしら自分で関数を作り、自動化処理などさせたことがある(ExtendScriptを少し書いたことがある)くらいだとより理解しやすいかもしれません。ただし、途中から思考実験のような内容になっていきます。プログラミング力というよりも、推測力が求められるかもしれません。。。 (結局11時間くらいぶっ続けで
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Email Address の難読化 (Obfuscation) 機能
NTT、汎用的な量子回路の難読化に成功 素因数分解アルゴリズムにも適用可 知財保護に期待
レコーダーのデザインが再設計された「ScreenToGif」v2.27 ~フリーのデスクトップキャプチャーツール/プライバシーに関わる部分にボカシやモザイクをいれる“難読化”機能も強化
「☆→@に変更」などのメールアドレス難読化手法はChatGPTで簡単に突破できてしまう
日光宇都宮道路「徳次郎IC」読み方変更で「難読化」! 地元要望による地名変更うけ | 乗りものニュース
VBScript の難読化と解除 - Qiita
【C#】逆コンパイルと難読化について【.NET】 - Qiita
Rustのwasmを逆コンパイルして丸裸にされるのを難読化で抗う
Pythonスクリプトの難読化 | Let's Hack Tech
37日ごとに難読化と暗号化メカニズムを変更 Microsoftがサイバー攻撃者の検出回避の手口を公表
オープンソース≠安全:難読化コードが潜む見えない脅威 - 社内SEゆうきの徒然日記
HashiCorp Terraformに簡潔な差分フォーマッターと機密データの難読化が加わる
逆コンパイルと難読化【Unity】 - トマシープが学ぶ
RailsでIDの可逆難読化する方法のメモ📝 - Madogiwa Blog
難読化されたJavaScriptを解読するツールを作った - Qiita
難読化されたDartコードのCrashlyticsログをデコードする
難読化された .jsxbin ファイルを読んでみる - shuto_log.aep
podcasts.apple.com
youngchampion.jp
m-dojo.hatenadiary.com
effect-effect.com
exoduswalletsupportnumber.document360.io
flywithairlines-2a210177.document360.io