タグ

ブックマーク / www.mbsd.jp (5)

  • ドメインやサブドメインを調査する話(前編) | 技術者ブログ | 三井物産セキュアディレクション株式会社

    気がついたら数年ぶりのBlog投稿でした。お手柔らかにお願いします。 さて、今回取り上げるのは、ドメインやサブドメイン、保有ネットワークを調査する手法(相手方に影響を与えない縛りです)を思いつくままに紹介していきます。ドキュメントとして纏まっているものもあまり見かけなかったので、重い腰を上げて書いてみました。この他にもこんな方法がある!などフィードバックを頂ければとても喜びますので、是非よろしくお願いします。 目次 <後編> ・サブドメインを調査する方法 ・IPアドレスを起点にサブドメインを探す ・公開ポートへのアクセス(Webポート) ・<通常コンテンツの返却> ・<エラーページの返却> ・<リダイレクト> ・公開ポートへのアクセス(Webポート以外) ・証明書の確認 ・<Webサーバの場合> ・<SSL/TLSで保護されたプロトコルの場合> ・<プロトコル内で暗号化(STARTTLS)

    ドメインやサブドメインを調査する話(前編) | 技術者ブログ | 三井物産セキュアディレクション株式会社

  • 国内企業を騙る日本語ランサムウェアの解析 | 技術者ブログ | 三井物産セキュアディレクション株式会社

    時間2021年8月9日の19時頃、国内企業を騙った以下のファイル名を持つランサムウェアがVirusTotal上にアップロードされたことを弊社の調査により確認しました。 NTT総合システムチェックソフトウェア(Ver1.0).exe 該当ファイルは以下の図の通り、アイコン情報を持たないEXEファイルとして作成されています。 図 1 国内企業を装ったファイル名を持つランサムウェアの検体 VirusTotalへアップロードされた際のアップロード元はJPとなっており、日国内からであると考えられます。 図 2 日国内からアップロードされたことがわかる様子 検体のプロパティ情報には、デジタル署名は付与されておらず、以下のようにランサムウェアであることを示す「Rasomware2.0」(nが抜けている)という文字列が含まれています。(※以下の画像の通りransomwareではなくrasomwa

    国内企業を騙る日本語ランサムウェアの解析 | 技術者ブログ | 三井物産セキュアディレクション株式会社

  • SNAKE(EKANS)ランサムウェアの内部構造を紐解く | 技術者ブログ | 三井物産セキュアディレクション株式会社

    ここ数日ホンダがサイバー攻撃を受けたというニュースが世界各国で報じられています。 記事では、一部で関連性が指摘されているVirusTotalにアップロードされたSNAKEランサムウェアの検体(※)について解析を行い、現時点までに判明した内容を簡単ですが共有します。海外ではすでにいくらか情報は出ているものの、日語での解析記事はあまりないと思われるため何かの参考になれば幸いです。 ※ハッシュ値:d4da69e424241c291c173c8b3756639c654432706e7def5025a649730868c4a1 なお弊社では、検体がホンダに対するサイバー攻撃と関連があるかどうかは把握しておらず、記事はあくまで上記ハッシュ値の検体の解析結果に終始している点をご了承ください。 ■検体調査 まず、当該検体は以下の通り、日国内から6/8頃にVirusTotalにアップロードされてい

    SNAKE(EKANS)ランサムウェアの内部構造を紐解く | 技術者ブログ | 三井物産セキュアディレクション株式会社

  • 話題のMBR破壊型ワームランサムウェアの内部構造を紐解く | MBSD Blog

    2017.06.30 コンサルティング事業部 サイバーインテリジェンスグループ 吉川 孝志 現在、ウクライナを中心に「GoldenEye」「Petya」「PEtrwrap」と呼ばれている新たなMBR破壊型かつワーム型ランサムウェアの脅威が拡大しています。 この記事では弊社マルウェア解析チームが現時点までに調査した調査内容を掲載します。 はじめに脅威の全体像を簡潔に記載した上で、後半ではより細かい分析結果を中心に解説していきます。 ■今回の攻撃のおおまかな仕組みとマルウェアの挙動について 感染の方法については、サードパーティ製のアプリケーション「MeDoc」経由や、メールに添付されたファイル経由で感染する等、色々な情報が流れていますが、今のところ弊社では確証のある情報は確認できていません。 今回の攻撃の中核となるマルウェア体のファイル形式はDLLとなります。 マルウェア体となるDLLファ

    s_nagano
    s_nagano 2017/07/03
    “今回のMBR破壊型ワームランサムウェアにおけるキルスイッチはローカルにあるファイルの存在有無となります。”
    リンク

  • 「WannaCry 2.0」の内部構造を紐解く | MBSD Blog

    2017.05.18 コンサルティング事業部 サイバーインテリジェンスグループ 吉川 孝志 ここ連日ランサムウェア「WannaCry」が世間を騒がせています。 弊社では3月時点で「WannaCry 1.0」の検体を入手しており、ランサムウェアとしての「WannaCry」は以前からDropbox等で一般のランサムウェアと同様に拡散されていたことを把握しています。 記事では、今回の一連の攻撃で利用された「WannaCry 2.0」を構成する複数のファイルおよびその関係性、そして「WannaCry 1.0」との比較分析により見えた「WannaCry 2.0」の特徴について解説します。 ■WannaCryに感染するまでの複数検体の関連について まず初めに、今回の感染で利用される一連のファイルの関連図を以下に示します。 世間で公開されている今回の攻撃の分析において、個別のファイルの視点で捉えている

  • 1

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.