詳解 インシデントレスポンス
インシデント対応には、様々な専門分野の知識が必要です。優れたインシデント対応担当者は、ログ分析、メモリフォレンジック、ディスクフォレンジック、マルウェア解析、ネットワークセキュリティ監視、スクリプトやコマンドライン技術などに精通している必要があり、様々な分野のトレーニングを継続的に受ける必要があります。 本書は、セキュリティ侵害を試みる攻撃者の活動に対し、日常的に予防・検知・対応を行う実務家によって書かれた、実務家のための書籍です。それぞれの専門分野のエッセンスを凝縮し、読者の環境ですぐに応用できるインシデント対応の効果的な技術を紹介します。侵害や情報漏洩がより速いペースで発生し、これまでとは異なる動的なアプローチを必要とする現代の脅威に合わせた最新技術を解説していきます。インシデント対応の理解を深めたいIT専門家、初めてインシデント対応を学ぶ学生、クイックリファレンスガイドを探しているセ
プロセス情報をデタラメにする攻撃「Process Herpaderping」の内部構造を紐解く | 技術者ブログ | 三井物産セキュアディレクション株式会社
早速ですが、まずは以下の図1をご覧ください。 真ん中にメッセージボックスが表示されていますが、このメッセージボックスを表示するプロセスがどこから起動しているのか、つまり、実体EXEファイルの場所がこの図からわかるでしょうか? 図 1 プロセス情報がデタラメになっている様子 図1では、Process ExplorerやProcess Hackerで見る限り、プロセス名は「こんばんは!★」(拡張子なし)となっています。各ツールで表示されたプロセスのプロパティ情報を見ると、Process Explorerでは実体の場所がExplorer.exeであるかのように見えてしまっています。 一方でProcess Hackerでは、メッセージボックスのプロセスがMicrosoftの有効なデジタル署名を持っているかのように見えており、実体の場所が「こんばんは!★」を指しているように見えます。 では該当の「こ
Windows版「rm -rf /*」の「cmd /c rd /s /q c:\」を実行してみた | DevelopersIO
よい子(大人を含む)はマネしないでね。 この記事に書いてある内容を、自分が所有するPC以外(業務用PC、公共のPCなどで)で行った場合、 電子計算機損壊等業務妨害罪(刑法234条の2)に問われ、5年以下の懲役または100万円以下の罰金の可能性や損害賠償を求められる可能性があるらしいです。 Windows版「rm -rf /*」を実行してみたくなった つい先日、Amazon Linux 2でrm -rf /*を実行して、OSを破壊してみました。そちらの様子は以下記事をご参照ください。 Linuxを破壊してみると、何だか次はWindowsも破壊したくなってきました。 そこで、Windows Server 2019に対して、Windows版rm -rf /*と呼ばれるcmd /c rd /s /q c:\を実行してみて、どこまで壊れるのか確認してみます。 いきなりまとめ cmd /c rd /s
サイバー脅威インテリジェンス(CTI)配信はじめました - NTT Communications Engineers' Blog
はじめに イノベーションセンター Network Analytics for Security (以下、NA4Sec) プロジェクトリーダーの神田です。 NA4Secチームでは兄弟プロジェクトであるMetemcyber(@Metemcyber) *1と連携して、サイバー脅威インテリジェンス(以下、脅威インテリジェンス) *2の配信をはじめました。 本記事ではこの取り組みについて、発案者であるチームメンバーの @strinsert1Na(以下、strinsert1Na) との対談も交えながら紹介します。 NA4Secプロジェクトとは? NA4Secプロジェクトは「NTTはインターネットを安心、安全にする社会的責務がある」を理念として、攻撃インフラの解明、撲滅を目指すプロジェクトです。 NTT Com イノベーションセンターのみならずNTTセキュリティ・ジャパンやエヌ・エフ・ラボラトリーズ(以
私はとある企業で Incident Response サービスを提供しています。その中で、安全宣言発出のサポートを行うため、お客様が導入している EDR 製品のログを使って分析を行うことがあります。複数の EDR 製品のログを分析してきた経験から得た、 私が考える Incdient Response における網羅的調査のあるべき論を紹介します。 EDR はビジネス的思惑が強く働いており、過大評価されている側面があり、 EDR の有用性について本音で語られていないのではないでしょうか。そういったビジネス的側面を排除しフラットに語るため、個人ブログに記したいと思います。あくまで個人的見解であり、所属企業とは無関係ですし、特定のセキュリティ企業や製品を批判する意図はまったくありません。純粋に、世の中をより良くしたい、日本の産業を守りたいという想いのみで書いています。間違っている、議論の余地がある
JPCERT/CCでは、2019年12月頃に日本国内の組織を狙った標的型攻撃メールを確認しています。 標的型攻撃メールには、これまでJPCERT/CCでは確認していなかった、「LODEINFO」と呼ばれる新たなマルウエアに感染させようとする不正なWord文書が添付されていました。 今回は、新たなマルウエアLODEINFOの詳細について紹介します。 LODEINFOが動作するまでの流れ 図1は、LODEINFOが動作するまでの流れを示しています。 図 1:LODEINFOが動作するまでの流れ JPCERT/CCが確認した検体では、Word文書のマクロを有効化することでLODEINFOがホスト上に作成され、以下のコマンドでrundll32.exeから実行されます。 wmic process call create "cmd /c cd %ProgramData%&start rundll32.
しばたです。 Amazon CloudWatch(以後CloudWatch)で各種メトリクスを収集するためのCloudWatch Agentにはprocstatプラグインと呼ばれる機能があり、特定のプロセスに対する様々なメトリクスを収集することができます。 こちらの機能については弊社園部の以下の記事に詳しく記載されています。 CloudWatch Agent でProcstatプラグインの利用が可能になりました procstatプラグインの機能を応用すると特定のプロセスに対する死活監視を行うことが可能です。 たとえば以下の記事では起動しているhttpdプロセスの数をメトリクスに記録し、プロセス数が0になった場合(=プロセスが死んだ場合)にCloudWatch Alermのアクションでプロセスを再起動するといったことをしています。 EC2上のプロセスを監視し自動復旧する ただ、AWS公式ドキ
はじめに Windows 10 では、幾つかの重要なプロセスが保護されていて、管理者権限やシステム権限を持っていてもデバッガーをアタッチすることが許可されていません。どんな層に需要があるか分かりませんが、これらの保護されたプロセスを、カーネル デバッガー、もしくはカーネル ドライバーを使って強引に jailbreak する方法について説明します。 さらに、Windows Defender のプロセス (MsMpEng.exe) には別の保護機能が実装されています。これもついでに解除してしまいましょう。Windows Defender に対する方法は、GitHub 上でオランダのハッカーから教えてもらいました。 環境 OS: Windows 10 1709 x64 + KB4048955 [Version 10.0.16299.64] Debugger: WDK for Windows 10
2022年7月末から、Purple Foxへの誘導が再開されたことを確認しました。パッチが適用されていないInternet Explorer を利用している場合、脆弱性を悪用されマルウェアに感染する恐れがあります。なお、Internet Explorer は2022年6月16日(日本時間)をもってサポートが終了しています。 IEのサポート終了後もPurple Foxを観測 2022年7月末から、Purple Fox Exploit Kit (以下、Purple Fox)への誘導が再開されたことを確認しました。Purple Foxはシステムの脆弱性を悪用する複数のコードをパッケージ化したExploit Kitです。更新が適用されていないInternet Explorer (以下、IE)を利用している場合、脆弱性を悪用されマルウェアに感染する恐れがあります。 この攻撃は不定期に日本で確認されて
IEの脆弱性 (CVE-2020-0674) とFirefoxの脆弱性 (CVE-2019-17026) を悪用する攻撃 - JPCERT/CC Eyes
Top > “インシデント”の一覧 > IEの脆弱性 (CVE-2020-0674) とFirefoxの脆弱性 (CVE-2019-17026) を悪用する攻撃 Mozillaは2020年1月8日、Firefoxの脆弱性に関する情報を公開しました。その後、1月17日には、マイクロソフト社がInternet Explorer(以降、IEと記載する)の脆弱性を悪用するゼロデイ攻撃が行われていることを公開しました。JPCERT/CCでは、この2つの脆弱性を同時に悪用する攻撃を確認しており、注意喚起を行いました。 今回は、このIEの脆弱性とFirefoxの脆弱性を同時に狙う攻撃の詳細について紹介します。 攻撃の概要 今回の攻撃は、改ざんされたWebサイトから攻撃サイトに誘導することで行われていました。 図1は、改ざんされたWebサイトにアクセスしてからマルウエアが感染するまでの流れです。 図1:
Microsoft works with researchers to detect and protect against new RDP exploits | Microsoft Security Blog
On November 2, 2019, security researcher Kevin Beaumont reported that his BlueKeep honeypot experienced crashes and was likely being exploited. Microsoft security researchers collaborated with Beaumont as well as another researcher, Marcus Hutchins, to investigate and analyze the crashes and confirm that they were caused by a BlueKeep exploit module for the Metasploit penetration testing framework
DNSとネットワークの勉強になったのでまとめてみる 現象: WSL2のデフォルトのフルリゾルバーにTCPで名前解決要求するとconnection refused 詳細 connection refusedを回避してみる 現象: WSL2のデフォルトのフルリゾルバーにTCPで名前解決要求するとconnection refused UDPは通る: dig www.google.co.jp A ; <<>> DiG 9.11.3-1ubuntu1.9-Ubuntu <<>> www.google.co.jp A ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 63879 ;; flags: qr rd ad; QUERY: 1, ANSWER: 9, AUTHOR
SolarWinds Supply Chain Attack Uses SUNBURST Backdoor | Google Cloud Blog
Highly Evasive Attacker Leverages SolarWinds Supply Chain to Compromise Multiple Global Victims With SUNBURST Backdoor Written by: FireEye UPDATE (May 2022): We have merged UNC2452 with APT29. The UNC2452 activity described in this post is now attributed to APT29. Executive Summary We have discovered a global intrusion campaign. We are tracking the actors behind this campaign as UNC2452. FireEye d
突然パソコンの動作が遅くなった際にタスクマネージャーを表示させると、「サービスホスト:ローカルシステム(svchost.exe)」がCPU/メモリ/ディスクの使用率が高い場合があります。 「サービスホスト:ローカルシステム」が複数実行されていて、CPU・メモリ・ディスクの使用率が100%になってしまうケースもあり、「ウイルスかも?」と心配になる方も多いと思います。 本記事では、Windows10の「サービスホスト:ローカルシステム」が原因でパソコンの動作が重い時の対処法を紹介します。 「サービスホスト:ローカルシステム」とはWindows10における「サービスホスト:ローカルシステム」とは、Windowsのサービスを実行するためのプロセスのことです。 「サービスホスト:ローカルシステム」はWindowsのサービスや、ストレージ、通信関連の機器の機能なども一括管理しているプログラムです。 「
CloudWatch で Windows のプロセス監視をする準備に役立つかも知れない PowerShell コマンド | DevelopersIO
Any string of 0 (zero) or more characters. The following example finds all instances where "Win" is found anywhere in the class name: SELECT * FROM meta_class WHERE __Class LIKE "%Win%" 参考:LIKE Operator PowerShellコマンド 監視対象の Windows Server もしくは検証用の環境で下記のコマンドを実行してください。 なお、検証は Windows Server 2016 (ami-0b9f653146e551eb6) で実施しています。 サービス一覧の取得 サービス(services.msc)から対象プロセスを探す際には下記のコマンドを使いましょう。 サービス名・名前(表示名)
この記事では、Windows オペレーティング システムで Windows Management Instrumentation (WMI) の CPU 使用率の高い問題を診断する方法について説明します。 問題を特定する ほとんどのシナリオでは、CPU は WmiPrvse.exe プロセスによって消費され、WMI サービス (Winmgmt) をホストするsvchost.exe が高い CPU 使用率を消費している場合がいくつかあります。 タスク マネージャーの [プロセス] ウィンドウまたは [詳細] ウィンドウを確認して、正確なプロセスを特定する プロセスが WmiPrvse.exe または svchost.exe (WMI サービス Winmgmt をホストしている) かどうかを特定し、プロセス ID を識別します。 次に例を示します。 [タスク マネージャー>の詳細] に移動し、
標的型攻撃手法解説:Waterbearキャンペーンでの「APIフック」による活動隠蔽 | トレンドマイクロ セキュリティブログ
「Waterbear(ウォーターベア)」は、2010 年 10 月から活動が確認されているサイバー攻撃キャンペーン、およびキャンペーンで使用されたマルウェアの呼称です。Waterbearの背後にいるとされる攻撃集団「BlackTech(ブラックテック)」は、台湾をはじめとして日本や香港を含む東アジアのテクノロジー企業と政府機関を対象としたサイバー諜報活動を行い、「PLEAD」や「Shrouded Crossbow」などの悪名高い攻撃キャンペーンにも関与しています。以前に確認されたWaterbearは、「ローダ」コンポーネントを用いることによって、最終的な攻撃を実行する「ペイロード」を読み込み実行するものでした。ペイロードは大抵、遠隔から追加のモジュールを受け取り読み込むことのできるバックドア型マルウェア(以下バックドア)でした。しかし、今回確認されたWaterbearでは、APIフックの手
csrss.exeとは?Windowsの主要なプロセスをおさらいしよう | サイバーセキュリティ情報局
Windowsの機能は、多数のプロセスと呼ばれるプログラムが動作することで実現している。しかし、常駐するプロセスが高負荷、処理速度の原因となるだけでなく、マルウェアの侵入口として狙われる場合もある。この記事では、Windowsの主要なプロセスと動作が重たいと感じた際の対処方法を解説する。 Windowsのプロセスとは プロセスとは一般的に、過程、あるいは工程といった意味で使われるが、OS(オペレーティングシステム)の関連用語として使われる場合のプロセスにおいては、それぞれが独立して動作するプログラム(アプリケーション)を意味する。 例えば、オフィスソフトであるExcelやWordなどのアプリケーションはそれら自体がプロセスとなる。WindowsなどのOSは、アプリケーションを一切起動していない状態であっても、ユーザーから見えない裏側(バックグラウンド)にて、数多くのプロセスが常時動作してい
GitHub - grapl-security/grapl: Graph platform for Detection and Response
Grapl leverages graph data structures at its core to ensure that you can query and connect your data efficiently, model complex attacker behaviors for detection, and easily delve into suspicious behaviors to understand the full scope of an ongoing intrusion. For a more in depth overview of Grapl, read this. Essentially, Grapl will take raw logs, convert them into graphs, and merge those graphs int
Guidance for investigating attacks using CVE-2023-23397 | Microsoft Security Blog
February 15, 2024 update – On January 20, 2024, the US government conducted a disruption operation against infrastructure used by a threat actor we track as Forest Blizzard (STRONTIUM), a Russian state-sponsored threat actor, as detailed here: https://www.justice.gov/opa/pr/justice-department-conducts-court-authorized-disruption-botnet-controlled-russian December 4, 2023 update – Microsoft has ide
Demystifying the “SVCHOST.EXE” Process and Its Command Line Options
Family Group PhotoThe Service Host process or “svchost.exe” is one the most notorious processes out there. It got a bad reputation for being “malicious” due to mostly two factors, one is malware impersonating it and the other is good old “Task Manager”. Because of the way task manager was designed in the old days (and to some extent today), it never gave much details into processes on the system a
意図しないシャットダウン・再起動が発生したら
本記事はマイクロソフト社員によって公開されております。 こんにちは、Windows サポートチームの栗木です。 本記事では、意図しないシャットダウン・再起動が発生した際に、状況を把握するために確認すべきシステムのイベントログをご紹介いたします。イベントログは、OS にデフォルトでインストールされているイベント ビューアーから確認ができます。 適用対象の OS すべての Windows OS 概要意図しないシャットダウン・再起動には、ユーザーが意図していない OS の正常シャットダウン・再起動とブルースクリーン (BSoD) やリセットまたは電源断などによるシャットダウン・再起動が考えられます。以下のフロー チャートより、どの Case に該当しているか確認し、それぞれの対処策から対応方針などをご検討いただければと存じます。 ※イベント ログが正常に記録されず、いずれの Case にも当ては
家のWindows PCは最近NASの仕事も別のホストに奪われたのでほぼテレビの録画のためだけに存在している。だから24/365稼働もすでにしていない。 そのテレビ録画だが、なんか番組の頭が1,2分くらい撮れていない。数秒程度なら現在のテレビ放送の仕組みとしては理解できなくもないが、1分を超えるのは尋常じゃない。マザボの電池切れのときのような数時間ドカンとズレるとか何年も巻き戻るとかじゃないからクロックオシレータがおかしいのかしら。 と、思って調べたら、直近のWindowsクリーンインストールの後に時刻同期設定をするのを忘れてた。 Q. 何でWindowsの時刻同期設定を忘れたら時間が狂うの? A. 現在のWindowsの初期値では時刻同期してくれないから。 いやいやtime.windows.comと定期的に同期するよね? それは7日ごとの決まった時間(日曜日の深夜1時)に運良くWindo
Defenders beware: A case for post-ransomware investigations | Microsoft Security Blog
Ransomware is one of the most pervasive threats that Microsoft Detection and Response Team (DART) responds to today. The groups behind these attacks continue to add sophistication to their tactics, techniques, and procedures (TTPs) as most network security postures increase. In this blog, we detail a recent ransomware incident in which the attacker used a collection of commodity tools and techniqu
朝、起きたらOSが勝手に再起動してやがりました。 (こうならない様にWindows Updateの設定ゴリゴリ弄ったのに…) とりまイベントビューアー見てみたら、再起動の時刻は4:37。↓ログ 次の理由で、プロセス C:\WINDOWS\system32\svchost.exe (hogehoge) は、ユーザー NT AUTHORITY\SYSTEM の代わりに、コンピューター foofoo の 再起動 を始めました: オペレーティング システム: Service pack (計画済) 理由コード: 0x80020010 シャットダウンの種類: 再起動 コメント: Service packとか書いてやがる…。 ですが、設定を色々見てみるも、SP1の記述は無し。 あと、Nortonも立ち上がってやがってるんですよね…。 履歴を見てみます。 →特にそれらしい記述は無し。 むむむ…。 それじゃ
メモリ食いのGoogle Chrome、ついに消費量削減へ(Impress Watch) - Yahoo!ニュース
Google Chromeの開発者Bruce Dawson氏の投稿によると、次期ChromeではWindows 10 May 2020 Update(バージョン2004以降)に搭載される「セグメントヒープ」を使い、メモリ使用量の削減を行なう。 ヒープメモリは動的に確保可能なメモリ領域のこと。Windows 10ではこれまでのNTヒープに加え、セグメントヒープという新たなヒープアーキテクチャを持つ。セグメントヒープでは、メタデータのフットプリントが小さい、メタデータと実際のデータが分離されているためセキュア、より少ないメモリ消費量と高い性能を特徴としている。 しかし、これまでそのセグメントヒープの利用はUWPアプリ、および一部のシステムプロセス(csrss.exe、lsass.exe、runtimebroker.exe、services.exe、smss.exe、svchost.exe)に限
From Zero to Domain Admin
The DFIR Report Real Intrusions by Real Attackers, The Truth Behind the Intrusion Intro This report will go through an intrusion from July that began with an email, which included a link to Google’s Feed Proxy service that was used to download a malicious Word document. Upon the user enabling macros, a Hancitor dll was executed, which called the usual suspect, Cobalt Strike. Various different enum
Cobalt Strike Infrastructure Changing infrastructure will always be inconvenient for the threat actors, but it is not a difficult task. Additionally, Cobalt Strike is able to make use of “redirectors.” Therefore, some of these servers could be a redirector instead of the actual Cobalt Strike C2 server. Redirectors are hosts that do what the name implies, redirect traffic to the real C2 server. Thr
UAC Bypass The threat actors were observed bypassing UAC via WSReset and DelegateExecute, spawning new processes at a High integrity level. While executing this UAC bypass, the threat actors seemed to be running into some kind of trouble during execution, which required them to try the technique several times and tried to kill one of their processes from a prior attempt. In addition to the WSReset
Written by Sasha Shapirov CTO @ SysAid & Profero Incident Response Team On Nov 2nd, a potential vulnerability in our on-premise software came to our security team’s attention. We immediately initiated our incident response protocol and began proactively communicating with our on-premise customers to ensure they could implement a mitigation solution we had identified. We engaged Profero, a cyber s
SharpPanda: Chinese APT Group Targets Southeast Asian Government With Previously Unknown Backdoor - Check Point Research
SharpPanda: Chinese APT Group Targets Southeast Asian Government With Previously Unknown Backdoor Introduction Check Point Research identified an ongoing surveillance operation targeting a Southeast Asian government. The attackers use spear-phishing to gain initial access and leverage old Microsoft Office vulnerabilities together with the chain of in-memory loaders to attempt and install a previou
診断ポリシー サービスを使用すると、Windows コンポーネントの問題を検出、トラブルシューティング、および解決できます。このサービスを停止すると、診断は実行されません。 Diagnostic Policy ServiceのプロパティDiagnostic Policy Service機能の終了プロセス一覧からDiagnostic Policy Serviceの項目上で終了を選択した場合、そのサービス(機能)だけでなくsvchost.exeそのものの終了操作となり、Windowsの起動が不可能な状態になりWindowsをシャットダウンすることになりますので注意です。 svchost-exeのタスクを終了させる際に表示される確認ウィンドウDiagnostic Policy Service機能の一時停止Diagnostic Policy Serviceの処理の一時停止を実行するには、サービス名
Tarrask malware uses scheduled tasks for defense evasion | Microsoft Security Blog
April 2023 update – Microsoft Threat Intelligence has shifted to a new threat actor naming taxonomy aligned around the theme of weather. HAFNIUM is now tracked as Silk Typhoon. To learn about how the new taxonomy represents the origin, unique traits, and impact of threat actors, and to get a complete mapping of threat actor names, read this blog: Microsoft shifts to a new threat actor naming taxon
What happened? At the end of 2021, we were made aware of a UEFI firmware-level compromise through logs from our Firmware Scanner, which has been integrated into Kaspersky products since the beginning of 2019. Further analysis has shown that a single component within the inspected firmware’s image was modified by attackers in a way that allowed them to intercept the original execution flow of the m
The DFIR Report Real Intrusions by Real Attackers, The Truth Behind the Intrusion Intro Conti is a top player in the ransomware ecosystem, being listed as 2nd overall in the Q2 2021 Coveware ransomware report. The groups deploying this RaaS have only grown more prevalent. Despite the group having it’s affiliate guide leaked, which revealed many techniques already covered in previous reports, the g
睡眠不足が加速する。 原因の調査 管理者でコマンドプロンプトを起動(Winキー → cmd → 右クリック → 管理者として実行) コマンドpowercfg waketimers powercfg waketimers [PROCESS] \Device\HarddiskVolume10\Windows\SystemApps\Microsoft.Windows.StartMenuExperienceHost_cw5n1h2txyewy\StartMenuExperienceHost.exe によって設定されたタイマーは () で有効期限が切れます。 [SERVICE] \Device\HarddiskVolume10\Windows\System32\svchost.exe (SystemEventsBroker) によって設定されたタイマーは 21:01:47 (2019/08/22)
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Incident Response において実施すべき調査(EDR vs FSA)
日本国内の組織を狙ったマルウエアLODEINFO - JPCERT/CC Eyes
Amazon CloudWatchでWindowsのプロセス監視をしてみた | DevelopersIO
Windows 10 の保護プロセスを jailbreak してデバッガーをアタッチする方法 - Qiita
サポート終了後も狙われ続けるInternet Explorerの脆弱性 | ラック脅威情報ブログ
【備忘】WSL2でTCPで名前解決要求できなかった話 - 勉強日記
Windows10 サービスホスト:ローカルシステム(svchost.exe)が重い時の対処法
WMI の CPU 使用率の高い問題のトラブルシューティング - Windows Server
Windows 10の時刻同期設定
『【Windows10】Windows Update で勝手に再起動する問題について』
Cobalt Strike, a Defender's Guide
BumbleBee Zeros in on Meterpreter
SysAid On-Prem Software CVE-2023-47246 Vulnerability - SysAid
Diagnostic Policy Serviceとは、停止して高速化は可能か | 1 NOTES
MoonBounce: the dark side of UEFI firmware
BazarLoader to Conti Ransomware in 32 Hours
WindowsUpdate(バージョン1903)後スリープが強制解除される問題