WiresharkのDissectorを使った独自プロトコル解析(制御システム固有プロトコル対応について)
本稿では「制御システム固有のプロトコルに対応」という用語の意味することについて考えてみました。 昨日の低予算で始めるArkimeによるOT IDS運用 - 実践ガイドに引き続き通信監視ネタです。なお、WiresharkのDissectorとは、通信データを解釈・解析してわかりやすく表示する仕組みです。 はじめに 2020年に公開した WiresharkのDissectorを使った独自プロトコル解析をやさしく解説してみました の記事は、今では、Dissectorに興味をもった人に最初に目にとまる定番記事となっているようであり、Dissectorの草の根普及に少しでも貢献できていたとすれば嬉しい限りです。読んでいただいた皆様、この場でお礼申し上げます。 もともと、制御システムの通信テストやトラブル解析でWiresharkの生データを見て四苦八苦していた当時、Dissectorを自作できることを
ファストフォレンジックの実務とは?
はじめに 「デジタルフォレンジック」はだいぶ耳馴染みのある言葉になってきた気がしますが、「ファストフォレンジック」という言葉を耳にされたことはあるでしょうか? と書き出して「おい、これ長くて堅い話になりそうだぞ、ファストじゃないぞ」と自覚しました。が、もし10分程度のお時間があれば、何か飲みながらでもおつきあいただけると幸いです。。 この記事では、組織内のPCがEmotetのようなマルウェアに感染したセキュリティインシデントを事例として、ファストフォレンジックの実務をご紹介したいと思います。 デジタル・フォレンジック研究会の証拠保全ガイドライン(第9版)では、次のように説明されています。 ファスト・フォレンジック(ファストフォレンジック) 早急な原因究明、侵入経路や不正な挙動を把握するため、必要最低限のデータを抽出及びコピーし、解析すること ※ 出典 : https://digitalfo
Noribenでマルウェアの動的解析を効率化しよう | IIJ Engineers Blog
SOCのインフラ運用から分析ルール管理までやってた自称何でも屋。 最近マルウェア解析に手を出し始めた。家ではニャンサムウェアの被害に度々あっている。 【IIJ 2023 TECHアドベントカレンダー 12/6の記事です】 はじめに こんにちは。SOCでマルウェア解析をしているtomoya-fです。 本記事ではマルウェアの動的解析ツールであるNoriben(ノリベン)を紹介します。 こういう機会にならないとドキュメント化しない体たらくさよ・・・ マルウェア解析の種類 Noribenの紹介をする前にマルウェアの解析種別について触れておきます。 マルウェア解析は解析の目的により、解析の手法や利用するツールが異なります。 代表的な解析として以下の3つが挙げられます。 ※ 解析種別は文献や個人によって定義や粒度が異なります 表層解析 動的解析 静的解析 表層解析とはマルウェアのメタデータなどを解析す
フォレンジックにおけるSRUMの活用
NECサイバーセキュリティ戦略統括部セキュリティ技術センターの山﨑です。セキュリティインシデントの対応において、”情報漏洩の有無”は被害範囲の特定や復旧に向けた方針を決定する上で重要な事項の一つです。今回のブログでは、”情報漏洩の有無”という観点での調査に活用可能なSRUMについて書きます。 SRUM(System Resource Usage Monitor)は、アプリケーションやサービス等の利用状況を監視するWindowsの機能です [1]。この機能はWindows 8から導入されました。SRUMは、ある期間内で実行されたアプリケーションやそのアプリケーションを実行したユーザーアカウント、アプリケーション毎のネットワーク通信量といったデータを収集します。 SRUMが収集したデータは、はじめにSOFTWAREレジストリに保存されます。その後、(Windowsが起動している場合は)約一時間
Active exploitation of Cisco IOS XE Software Web Management User Interface vulnerabilities
Active exploitation of Cisco IOS XE Software Web Management User Interface vulnerabilities Updates Nov. 02: Identified a third version of the BadCandy implant. Added expected response from the new version of the implant against one of the HTTP requests used to check for infected device. Nov. 1: Observed increase in exploitation attempts since the publication of the proofs-of-concept (POCs) of the
Wireshark によるパケット解析講座 3: ホストとユーザーと特定する
表1. 「Windows NT」の行と対応する Microsoft Windows バージョン なぜ表 1 では「Windows NT 10.0」が「Windows 10 または Windows 11」を表すとされているのでしょうか。User-Agent 行の情報を減らす取り組みの一環で、Chrome や Edge、Firefox などの Web ブラウザーの開発者は Windows NT 10.0 の User-Agent 行に含める Windows バージョン番号を固定にしているのです。2023 年以降、Google Chrome ブラウザーの最新バージョンは、User-Agent 行の Windows のあらゆるバージョンを Windows NT 10.0 として報告するようになっています。 この措置は Apple macOS に関してもとられており、現行バージョンの macOS で
ドメインやサブドメインを調査する話(前編) | 技術者ブログ | 三井物産セキュアディレクション株式会社
気がついたら数年ぶりのBlog投稿でした。お手柔らかにお願いします。 さて、今回取り上げるのは、ドメインやサブドメイン、保有ネットワークを調査する手法(相手方に影響を与えない縛りです)を思いつくままに紹介していきます。ドキュメントとして纏まっているものもあまり見かけなかったので、重い腰を上げて書いてみました。この他にもこんな方法がある!などフィードバックを頂ければとても喜びますので、是非よろしくお願いします。 目次 <後編> ・サブドメインを調査する方法 ・IPアドレスを起点にサブドメインを探す ・公開ポートへのアクセス(Webポート) ・<通常コンテンツの返却> ・<エラーページの返却> ・<リダイレクト> ・公開ポートへのアクセス(Webポート以外) ・証明書の確認 ・<Webサーバの場合> ・<SSL/TLSで保護されたプロトコルの場合> ・<プロトコル内で暗号化(STARTTLS)
Wireshark によるパケット解析講座 2: 脅威インテリジェンス調査に役立つフィルタリング設定
表1. Wireshark の表示フィルター式で使われるブール演算子とその機能 Wireshark の表示フィルター式の適当な例を以下にあげます。 ip.addr eq 10.8.15[.]1 and dns.qry.name.len > 36 http.request && ip.addr == 10.8.15[.]101 http.request || http.response dns.qry.name contains microsoft or icmp Web トラフィックのフィルタリング 前回の Wireshark チュートリアルでは、Web トラフィックに次のフィルターを使いました。 http.request or tls.handshake.type eq 1 「http.request」という式からは HTTP リクエスト内の URL が得られます。そして「tls.han
ドメインやサブドメインを調査する話(後編) | 技術者ブログ | 三井物産セキュアディレクション株式会社
<前編> ・ドメイン・ネットワーク帯を調査する手法 ・ドメインの調査 ・JPRS whois ・ICANN Registry Listings ・ネットワーク帯(IPアドレス)の調査 ・JPNIC whois Gateway ・BGP Tool kit ・その他の調査 ・検索エンジンを使った調査 ・Webサイトのクローリング ・Google AdSense ・公的データベースの活用 ・gBizINFO ・公開情報調査(Passive型の検索サービス) ・Robtex ・PassiveDNS ・viewdns.info ・Microsoft Defender Threat Intelligence ・違うTLDを試す ・RDAP サブドメインを調査する方法 様々な手法で収集した、ドメインとIPアドレス情報をもとにサブドメインを列挙するフェーズです。ドメイン/ネットワーク帯(IPアドレス)調査
ドメインやサブドメインを調査する話(前編) | 技術者ブログ | 三井物産セキュアディレクション株式会社
気がついたら数年ぶりのBlog投稿でした。お手柔らかにお願いします。 さて、今回取り上げるのは、ドメインやサブドメイン、保有ネットワークを調査する手法(相手方に影響を与えない縛りです)を思いつくままに紹介していきます。ドキュメントとして纏まっているものもあまり見かけなかったので、重い腰を上げて書いてみました。この他にもこんな方法がある!などフィードバックを頂ければとても喜びますので、是非よろしくお願いします。 目次 <後編> ・サブドメインを調査する方法 ・IPアドレスを起点にサブドメインを探す ・公開ポートへのアクセス(Webポート) ・<通常コンテンツの返却> ・<エラーページの返却> ・<リダイレクト> ・公開ポートへのアクセス(Webポート以外) ・証明書の確認 ・<Webサーバの場合> ・<SSL/TLSで保護されたプロトコルの場合> ・<プロトコル内で暗号化(STARTTLS)
コラム第775号:「ランサムウェア攻撃の被害時に活用可能なベンダー選定チェックシートの紹介」 | デジタル・フォレンジック研究会
第775号コラム:北條 孝佳 理事(西村あさひ法律事務所 パートナー 弁護士) 題:「ランサムウェア攻撃の被害時に活用可能なベンダー選定チェックシートの紹介」 近年、データ復旧に関するトラブル事例が複数発生しており、これに危惧の念を抱いたことから、IDFをはじめ5団体(※1)が共同で「データ被害時のベンダー選定チェックシート Ver.1.0」(以下「チェックシート」という。)を作成し、公開した(※2)。本コラムではこれについて解説する(※3)。 サイバー攻撃の被害は後を絶たず、特にランサムウェア攻撃は、バックアップも含めて事業に活用しているデータが暗号化されて使えなくなってしまうことがある。そのため、被害組織にとっては業務の停止を余儀なくされ、場合によっては事業自体を撤退せざるを得ないこともある。このような事態が発生しないようランサムウェア攻撃を防止することに注力しつつ、被害を最小化するた
ELFマルウェアの静的分析におけるYaraルールを活用したF.L.I.R.Tシグネチャ作成手法 - JPCERT/CC Eyes
ELFマルウェアはそのマルウェアのビルド時に、シンボル情報を削除していることが見受けられます。これにより、マルウェア分析の際、関数の名前がわからないため、各関数名を特定する作業が生じます。また、分析ツールのIDAにおいて、既存のF.L.I.R.Tシグネチャ[1](以降本記事ではFLIRTシグネチャと省略)はELFマルウェアの関数に適用されないことも多く、適切なシグネチャが見つからない場合、分析が困難であるという問題があります。 今回は、この問題について、Yaraルールを使用することで関数名を明らかにする手法について解説します。なお、本手法に用いるYaraルールを自動生成するIDAスクリプト「AutoYara4FLIRT」の使い方についても紹介します。本ツールはGitHub上で公開していますので、次のWebページからダウンロードしてご利用ください。 JPCERTCC/AutoYara4FLI
インターンシップ体験記 〜Cobalt StrikeのC2サーバ追跡〜 - NTT Communications Engineers' Blog
はじめに こんにちは、NTTコミュニケーションズの現場受け入れ型インターンシップに参加した奥です。 現在は大学でLinuxマルウェアの動的解析について研究しています。 今回私は2023年2月6日から2月17日の2週間、イノベーションセンターのNetwork Analytics for Security(通称NA4Sec)プロジェクトに参加し、 Cobalt Strikeを悪用した攻撃事例の調査、またCobalt Strikeのペイロード配布に利用される攻撃インフラの発見・追跡を体験しました。 この記事では、インターンシップ参加の経緯やインターンシップ期間中に取り組んだ内容について紹介します。 インターンシップ参加の経緯 私がこのインターンシップに応募したのは、夏に他社のインターンシップに参加した際に、他の学生たちがNTTのインターンシップを推していた記憶があり、応募しておけばよかった..と
秋月謎SoC基板付きケースの購入~解析とLinux(buildroot,Debian)を動かす - honeylab's blog
ある晴れた昼下がり こんなツイートを見かけました 【新商品】部品取りに!無線モジュール付きSoc基板+白色プラスチックケース | 1,000円 #秋月電子 https://t.co/XGfEkWo9Qw pic.twitter.com/DNnpWKqidX — あきそく2.0 (@aki_soku) March 17, 2023 へー。中身… うおおおおおお、通販ぽちーーーーー! こんなんかうやろ なんなら今から取りに行きたいわ(いかないけど) https://t.co/dawFBTXHbf pic.twitter.com/D1lpN9w3dK — ひろみつ (@bakueikozo) March 17, 2023 としてTLを眺めていると… 次々に流れてくる購入報告と開封画像 久しぶりに秋月らしい物が… https://t.co/JB5Yvpu6N2 pic.twitter.com/ty
Malware Analysis Operations(MAOps)の自動化 - JPCERT/CC Eyes
日々発生するインシデント調査を効率化するために、分析を自動化することは、すべてのマルウェア分析者が取り組んでいる課題ではないかと思います。クラウドを中心とした技術(CI/CDやサーバーレス、IaCなど)は、MAOpsを効率的に自動化することができる素晴らしいソリューションです。今回は、JPCERT/CCで行っているクラウド上でのマルウェア分析の自動化方法について、以下の事例をもとに紹介します。 Malware C2 Monitoring Malware Hunting using Cloud YARA CI/CD system Surface Analysis System on Cloud Memory Forensic on Cloud Malware C2 Monitoring C2サーバーを監視することは、攻撃者の活動を理解する上で重要なため、多くのマルウェア分析者は日ごろから行っ
Windows端末の過去のグローバルIPアドレスを調べる方法(dosvc解析)
備忘録でメモ。 Windowsで端末内のetlファイルから、過去のグローバルIPアドレスを取り出す方法があった。 メモリダンプ調べてるときに見かけたファイルをパースしてみたらまぁまぁいい感じだったというもの。dosvcはたぶん日本語記事ないので誰かの役に立てばと思いメモ。 一般的なグローバルIPアドレスの調べ方 端末のグローバルIPを調べるとき、基本的に外部サイトを使用するだろう。 個人的に一番お世話になったのは「確認くん」だ。 ブラウザのついてないPCの場合は、無理やりCURLを打ってグローバルIPを調べたりしていた。 確認くんwww.ugtop.com グローバルIPを調べる方法1:netshでdosvcをパースする まず、dosvcは「Delivery Optimization」というWindows標準機能の略(別称?)のようなもので、アップデートの更新に関するネットワーク状況を管理
Cobalt Strike解析&チュートリアル: Cobalt Strikeによるメタデータの暗号化と復号
By Chris Navarrete, Durgesh Sangvikar, Yu Fu, Yanhui Jia and Siddhart Shibiraj July 13, 2022 at 7:40 PM Category: Tutorial Tags: C2, Cobalt Strike, Cobalt Strike Series, evasion, post-exploitation This post is also available in: English (英語) 概要 Cobalt Strikeは商用の脅威エミュレーションソフトウェアで、ネットワークに長期的にひそむアクターをエミュレートします。Beaconと呼ばれるこのアクターは外部TeamServerと通信してコマンド&コントロール(C2)トラフィックを模倣します。汎用性が高く、レッドチームの正規ツールとしてよく利用され
SplunkでJPCERTログ分析トレーニング(その1のデータ分析) - Qiita
https://blogs.jpcert.or.jp/ja/2020/07/log_analysis_training.html で「インシデント対応ハンズオン」でやってきたデータが公開されたのでSplunkでやってみる。 せっかくフィールドも抽出したので、Splunkっぽくやってみたい。 準備 https://qiita.com/toshikawa/items/926c63a9f77a0835c94e をみてください。 transforms.conf設定済み前提 調査 win.exeから まずは、win.exeで検索 こんな結果になるはず。 とりあえずは、タイムラインの最初がちょこちょこ離れているので、クリックして見てみる。 選択した時間帯、ここだと2019/11/07 15:44~15:55の間のログとフィールドに制限される。 送信元アドレスとアカウント名はあとで調べるために〆(._.
Cobalt Strike解析&チュートリアル: Cobalt Strikeによるメタデータのエンコードとデコード
By Chris Navarrete, Durgesh Sangvikar, Yu Fu, Yanhui Jia and Siddhart Shibiraj May 8, 2022 at 11:18 PM Category: Tutorial Tags: C2, Cobalt Strike, Cobalt Strike Series, evasion, malleable C2 profile, post-exploitation This post is also available in: English (英語) 概要 Cobalt Strikeは商用の脅威エミュレーションソフトウェアで、ネットワークに長期的にひそむアクターをエミュレートします。Beaconと呼ばれるこのアクターは外部チームサーバーと通信してコマンド&コントロール(C2)トラフィックを模倣します。汎用性が高く、レッド
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
DFPS_FOR500_v4.7_1-19_0621.indd