タグ

ブックマーク / csirt.ninja (5)

  • ランサムウェア攻撃者が利用する脆弱性リストメモ

    ■概要 2021年09月12日、Recorded FutureのCSIRTメンバーであるAllan Liska氏がTwitter上で呼びかけを行いました。 その呼びかけはランサムウェアの攻撃者が初期アクセスを獲得するために使用する脆弱性のリストを作成しようとしているというもので、いくつかのベンダーや製品名とともにCVE番号が列挙されたリストの画像が添付されており、このリストに掲載されていないものがあるかというものでした。これに対して、様々なレスポンスがあり、リストは拡充(初期アクセス獲得に利用される脆弱性以外も含む)され、セキュリティ研究者である、Pancak3氏が以下のような図を作成しました。 これらの流れを見ていて、非常によい取り組みだと思い、私も微力ながら貢献したいと考えました。 pancak3氏が作成された図だけでは、個別の脆弱性情報へのアクセスや影響を受けるバージョンを知ることが

    ランサムウェア攻撃者が利用する脆弱性リストメモ
  • 130万件のClubhouseユーザデータがリークされたとされている件のメモ

    ■概要 オンラインフォーラムにて130万件のClubhouseユーザのデータがリークされているとの海外メディアが報じました。オンラインフォーラムにて投稿された内容には以下の記載がありました。 130万件のユーザデータは、ClubhouseAPIを通じて抽出したとのことです。 ■ユーザデータに含まれていた情報 当該データを確認したところ以下の項目を含む情報でした。()内はデータ内の項目名をそのまま記載しています。 ユーザID(user_id) 名前(name) プロフ画像のURL(photo_url) Clubhouse ID(username) Twitter ID(twitter) Instagram ID(instagram) フォロワー数(num_followrs) フォロー数(num_following) アカウント作成日時(time_create) 招待されたユーザID(inv

    130万件のClubhouseユーザデータがリークされたとされている件のメモ
    s_nagano
    s_nagano 2021/04/12
    “データの内容を確認したところ、特段、機密性の高い情報は含まれていませんでした。”
  • EmotetとIcedIDとTrickbotをATT&CKを利用して比較したメモ

    Emotet&IcedID EmotetとIcedIDについての比較において最も注目すべき点は「Execution」の「Command and Scripting Interpreter」でないでしょうか。ここはEmotet及び、IcedIDをドロップする際に利用されるテクニックが挙げられているのですが共通するものが「Visual Basic」です。平たく言うと添付やリンクからエンドポイントに入り込んだOfficeファイル(WordやExcelなど)が開かれた際にマクロが動作し、感染プロセスが開始されることです。昨年は、Emotetの感染被害が多く、話題となりました。亜種も多数存在し、ウイルス対策ソフトではすべてを完全に検知できないという問題もあります。ウイルス対策ソフトやEDRを組み合わせて対応するということも良いのですが、検知するフェーズの前に根的にブロックする。つまり、ユーザがフ

    EmotetとIcedIDとTrickbotをATT&CKを利用して比較したメモ
  • FireEyeが窃取されたレッドチームツールに含まれる優先的に対処すべきCVEリスト

    FireEyeが12月8日付のブログで標的型攻撃を受け、社内で開発したレッドチーム用攻撃ツールが盗まれたことを公表しました。 発表ではゼロデイの脆弱性を利用する手法は含まれていないとのことですが様々な既知の脆弱性をテストするための手法が納められており、それらが攻撃者の手に渡ることでその攻撃者が利用したり、それが公開され多くの攻撃者が利用することも想定されます。その想定される事態のためにFireEyeは、盗まれたツールが検証する脆弱性についての情報を公開しました。公開した情報にはツールに含まれている攻撃を検知するために、Snort、ClamAV、Yaraの検知ルールなどが含まれているのですが、ツールが利用する脆弱性のうち優先的に対処すべき脆弱性のCVEリストを公開しています。 それらについて一覧表にしましたので共有します。 過去に国内でも利用され被害が報じられた脆弱性も含みますが、これを良い

    FireEyeが窃取されたレッドチームツールに含まれる優先的に対処すべきCVEリスト
  • 「Have I Been Pwned」のメールアカウント漏洩通知サービス「Notify me」と「Domain search」登録メモ | (n)inja csirt

    「Have I Been Pwned」のメールアカウント漏洩通知サービス「Notify me」と「Domain search」登録メモ memo 今年度に入ったあたりからメールとパスワードのセットが流出しているであるとか、売買されているというニュースやリリースなどが目立つと感じています。 そういった内容を受けてかプライベート、仕事の繋がりのある方からお問い合わせをいただくこともあります。問い合わせの内容としては「あなたのところの組織のメールアドレスとパスワードがダークウェブで売買されているのを発見した。それについての情報提供が必要であればうちのサービスを契約しませんか?」という売り込みを受けたのだが、何か情報持ってない?といったような類いのものです。こうした状況はあまりよろしくない気がするので、そんな状況を少しでも緩和することができそうな「Have I Been Pwned」というサイトの

    「Have I Been Pwned」のメールアカウント漏洩通知サービス「Notify me」と「Domain search」登録メモ | (n)inja csirt
  • 1