タグ

ブックマーク / blogs.jpcert.or.jp (5)

  • Androidマルウェアのsmaliガジェット挿入による動的分析手法 - JPCERT/CC Eyes

    Androidマルウェアを動的分析する場合、Windowsマルウェアのようにデバッカーを使ってコードを追いかけることは難しいのが現状です。Frida[1]によって動的にメソッドをフックする方法[2]がありますが、メソッドの途中の状態を取得することは難しく、また、FridaはAndroid専用のツールではないため、取得できる情報に限りがあります。今回は、Androidマルウェアをより柔軟に動的分析する方法として、smaliガジェット挿入手法を紹介します。 smaliガジェット挿入手法は、APKファイル内に分析用ガジェットを作成・挿入し、リパッケージしたAPKファイルを作成することで、動的分析を可能にする方法です。 逆コンパイル結果の確認 まず初めに、Androidマルウェアのどの部分を動的分析したいかを特定するために、Androidマルウェアのコードを確認します。APKファイルは、JADX

    Androidマルウェアのsmaliガジェット挿入による動的分析手法 - JPCERT/CC Eyes

  • 攻撃グループMirrorFaceの攻撃活動 - JPCERT/CC Eyes

    JPCERT/CCでは、2019年ごろから継続してマルウェアLODEINFOやNOOPDOOR(2022年ごろから使用)を使用する攻撃グループMirrorFace(Earth Kashaとも呼ばれる)の活動を確認しています。この攻撃グループのターゲットは、当初はマスコミや政治団体、シンクタンク、大学などでしたが、2023年からは製造業や研究機関などを狙うようになりました。また、ネットワーク内部に侵入する方法として、当初は標的型攻撃メールを使用してターゲット組織に侵入する特徴がありましたが、2023年ごろから外部公開資産の脆弱性を悪用してネットワーク内に侵入するパターンも並行して使用するようになりました。図1に、MirrorFaceの攻撃活動の変遷を示します。 図1:攻撃グループMirrorFaceの攻撃活動タイムライン (JPCERT/CCへの報告や他のベンダーから公開されているレポート[

    攻撃グループMirrorFaceの攻撃活動 - JPCERT/CC Eyes

  • TSUBAMEレポート Overflow(2024年1~3月) - JPCERT/CC Eyes

    はじめに このブログ「TSUBAMEレポート Overflow」では、四半期ごとに公表している「インターネット定点観測レポート」の公開にあわせて、レポートには記述していない海外に設置しているセンサーの観測動向の比較や、その他の活動などをまとめて取り上げていきます。 今回は、TSUBAME(インターネット定点観測システム)における2024年1~3月の観測結果についてご紹介します。日国内のTSUBAMEにおける観測状況と代表的なポート番号宛に届いたパケットの状況について週次でグラフを公開していますので、そちらもぜひご覧ください。 2023年度の観測状況から見る日国内の影響について JPCERT/CC では、日々TSUBAMEで収集したデータを分析しています。今回は、2023年度の観測結果から日国内に関連するインシデント例を振り返ってみたいと思います。 国内外に設置したセンサー宛に届いたパ

    TSUBAMEレポート Overflow(2024年1~3月) - JPCERT/CC Eyes

  • ランサムウェア攻撃事案から見る、ファーストレスポンダー同士の情報共有が必要な理由 - JPCERT/CC Eyes

    はじめに 先日、経済産業省から「攻撃技術情報の取扱い・活用手引き」が公開[1]されました。これはインシデント対応支援にあたるファーストレスポンダー(※)や専門組織同士の情報共有を促進するためのレファレンスで、JPCERT/CCは検討会共同事務局として参加し、また、手引き案の作成にも携わりました。 (※)ファーストレスポンダー:インシデントの初動対応にあたる、被害組織を支援するセキュリティベンダーや運用保守ベンダー、その他専門機関などのこと(「攻撃技術情報の取扱い・活用手引き」15ページ参照) サイバー攻撃の高度化・複雑化だけでなく、ランサムウェア攻撃のように、インシデント初動対応時点では、ごく限られた情報で速やかな対応判断が必要になるケースが増えています。2024年1月に開催されたJSAC2024において、JPCERT/CC 佐々木からは「ランサムウェア攻撃のアクター特定をすべきこれだけの

    ランサムウェア攻撃事案から見る、ファーストレスポンダー同士の情報共有が必要な理由 - JPCERT/CC Eyes

  • JSAC2024 開催レポート~DAY 1~ - JPCERT/CC Eyes

    JPCERT/CC は、2024年1月25日、26日にJSAC2024を開催しました。 カンファレンスは、セキュリティアナリストの底上げを行うため、 セキュリティアナリストが一堂に会し、インシデント分析・対応に関連する技術的な知見を共有することを目的に開催しています。今回が7回目となるJSACですが、前年度と異なりオフライン形式のみで開催しました。講演については、2日間で17件の講演、3件のワークショップおよび、6件のLightning talkを実施しました。 講演資料は、JSACのWebサイトで公開しています(一部非公開)。JPCERT/CC Eyesでは、カンファレンスの様子を3回に分けて紹介します。 第1回は、DAY 1 Main Trackの講演についてです。 Amadeyマルウェアに関する活動実態の変遷から得られる教訓 講演者:BlackBerry Japan 株式会社 糟

    JSAC2024 開催レポート~DAY 1~ - JPCERT/CC Eyes
  • 1

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.