昨日から始まり、日本国内のウェブサイトがハッキングされ、そしてそのサイトにLockyランサムウェアのバイナリーを発見しました。いくつか証拠をオンラインで見たら狙われている脆弱性がばらばらで、恐らくハッカーはウェブ脆弱性スキャナーを使ったと考えています。 Lockyランサムウェアの最終感染キャンペーンで日本ウェブサイトからの感染URLが現在2番目となります↓ 最新情報の更新＞ 6月30日の感染キャンペーンの時点で悪用されているハッキングされたウェブサイトの一番は.... ...日本のです。 ランサムウェアの感染ファイルが悪用されている状況は良くない状況なので、早めにクリーンアップの対応をしてほしい、そして脆弱性を直してください。その他のウェブサイトの管理者の方々にはサイトの「hardening」テストを実行した方がいいと思います。 下記はスナップショットとなります↓ 最新追加情報... ウイ

《 ELFマルウェアワークショップの方々へ 》 AVTOKYO-2015でELFマルウェアワークショップ「Swimming in the Sea of ELF」を開催しました。来てくれた皆さんに有難う御座いました。丁度最近Linuxランサムウェアが流行ったので、ワークショップ上でunix shellでリバーシングが必要な理由を説明しました。ワークショップで説明したr2をセットアップした後、下記のリバーシングメモを参考に練習が出来ると思います。 => >English version is here and here 目次 （1）感染のバックグラウンド （2）どんなソースコードを使用しているのか （3）何処から何処まで暗号化されているのか （4）復号機能のリバーシング （5）なぜPolarSSLのソースコードが沢山使われたのか （6）ずっと最初から「PolarSSL」を使われたのか （7）結

以前の0day.jp記事にも日本国内に対して「Kelihosマルウェア・ボットネット」の感染を報告しましたが 今回このロシア系マルウェア感染ボットネットが「カムバック」しましたので、 今日我々「MalwareMustDie」が12時間モニターしたら、日本国内の感染IP11件を発見しました。 全国の感染されたPC/IPは合計１６４IPを発見しました。これから情報が増えると思っています（監視し始めたばかり）。 感染されたIPの一覧は下記となります↓ 116.64.101.112|116-64-101-112.rev.home.ne.jp.|9824 | 116.64.0.0/17 | JTCL-JP | JP | jcom.co.jp | Jupiter Telecommunication Co. Ltd 126.48.37.45|softbank126048037045.bbtec.net.