Chapters: [TelnetLoader] [EchoLoader] [Propagation] [NewActor] [Epilogue] Prologue A month ago I wrote about IoT malware for Linux operating system, a Mirai botnet's client variant dubbed as FBOT. The writing [link] was about reverse engineering Linux ELF ARM 32bit to dissect the new encryption that has been used by their January's bot binaries, The threat had been on vacuum state for almost one m
Prologue [For the most recent information of this threat please follow this ==> link] I setup a local brand new ARM base router I bought online around this new year 2020 to replace my old pots, and yesterday, it was soon pwned by malware and I had to reset it to the factory mode to make it work again (never happened before). When the "incident" occurred, the affected router wasn't dead but it was
Tsurugi Linux 「SECCON版」のリリース、radare2 + Ghidra & R2DECデコンパイラーの組み込みバーション [English Translation in text] 昨年(2018年11月3日)のAVTOKYOカンファレンスで 「Tsurugi Linux」フォレンジック・ディストリビューションが日本でリリースされております。 当日のイベントで発表した時のスライドを公開し、次の日に「Tsurugiフォレンジック・ワークショップ」も行い、そして 2018年12月にもSECCONカンファレンスでTsurugi LinuxフォレンジックCTF問題の説明を行いました。その後Tsurugi Linuxが全世界の発表を回って、SANS DFIR (Prague)、HACKINBO (Rome)、「BlackHat」 (USA)とその他のイベントでも発表とトレーニング
Prologue There are a lot of botnet aiming multiple architecture of Linux basis internet of thing, and this story is just one of them, but I haven't seen the one was coded like this before. Like the most of other posts of our analysis reports in MalwareMustDie blog, this post has been started from a friend's request to take a look at a certain Linux executable malicious binary that was having a low
MMD-0063-2019 - Summary of 3 years MMD research (Sept 2016-Sept 2019) Hello, it's unixfreaxjp here. It has been a while since I wrote our own blog, and it is good to be back. Thank you for your patience for all of this time. If you want to see what we were doing during all of our silence time just click this link The background / TLDR It was in September 2016 when we decided to move our blog and s
1.はじめに *)本APT攻撃の目標をもっと知りたいなら、私の Q & A (英文)インタビュー内容をご確認ください。 ついさっき VXRL(credit)から連絡があり、あるAPTフィッシングメールのURLでマルウェアをダウンロードしているようです。URLは国内のGeocitiesさんのお客様サイトで、早く削除が欲しいとの問い合わせでした。 サンプル/証拠: ※)APT攻撃のフィッシングメールですので、ここで全てのメール情報を見せる事が出来ません。 どんなマルウェアを聞いていたら、情報が不明で、僕の方で色んなシグネチャーを確認したら検知率はゼロとの事で、これじゃマルウェアの証明が無いと多分Geocitiesさんも対応してくれないだとうと、僕の方で本件のAPT解析をしました。 この解析の結果を使ってマルウェア駆除の参考情報にしてください。 |APTとは? | |APT攻撃(標的型攻撃)とは
MMD-0062-2017 - Credential harvesting by SSH Direct TCP Forward attack via IoT botnet Sticky note: We call this threat as "Strudels Attack" 1. Background In this post there is no malicious software/malware analyzed, but this is one of the impact of the malware infecting IoT devices caused by weak credentials that are utilized by the bad actors for bigger crime process. The only malicious aspect wr
昨日、「MalwareMustDie」のブログで昨年10月からの SSH での TCP フォワーディングを使うハッキングの仕組みを 報告しました。 SSHでのTCPポートフォワーディングとは日本語では「SSHでのポートフォワーディング」ですね。ようは、確立している SSH 接続をトンネルとして利用し、任意の通信をトンネルを経由させて転送することで、転送先ネットワークやサーバとは、透過的な通信が可能となります。 報告内容の中にSSHでのポートフォワーディングの上でSMTP経由のハッキングの動きがあり、回数も多く、2016年10月24日から2017年2月27日の段階では 8,000件以上 の SMTP 不正なアクセスの動きを発見しました。 スクリーンショットは下記となります↓ ↑その中に74件は国内のメールサーバのIPを発見致しました。 報告しましたSSHでのポートフォワーディング経由SMTP
■はじめに 今回Linuxのハッキング事件のレポートを書かせて頂きます。 内容的には「Linux OS x86」、「ELFバイナリリバーシング」と「シェルコード」の絡みとなります。 この記事を読むだけでもOKですし、もし再現したい場合ASM、gccとLinuxリバーシングのノウハウが必要だと思います。環境的にLinuxのシェルですので解析は全てradare2でやりました。 取り合えず簡単に書きますので、リラックスしながら楽しくに読んで下さい。 ■ハッキングされた情報 とあるLinuxマシンに怪しいプロセスが発見されました↓ 28641 ? S 0:00 [kworker/2:0] 30514 ? S 0:00 [kworker/1:0] 30518 pts/1 S+ 0:00 [sh] 31544 ? S 0:00 [kworker/3:2] 31670 pts/1 S 0:00 nets
■はじめに 今回は新しいマルウェアにハッキングされたWordpressサイトの報告を致します。 恐らく2017年1月25日から、Wordpressで作られたウェブサイト/ブログのハッキング事件が沢山発見されております。 ハッキングされたサイトにZeus(Pony種類)若しくはVawtrakなどのマルウェアファイルを発見されています。ハッカーが古い版Wordpressソフトウェア、若しくは、プラグインの脆弱性を狙い、「/wp-content/plugins/」ダイレクトリーの下に暗号化されたPonyやVawtrakマルウェアファイルを入れていた、との状況でいくつか確認をさせて頂きました。 ハッキングされたサイト一覧の中に日本国内のwordpressサイトもあります。 ■Hancitorマルウェア感染仕組みについて 簡単にいうと、Hancitor(Chanitor / Hancitor Mal
脆弱性を持つIoTデバイスをDDoS攻撃を行うボットに変えてしまう、新種のマルウェアが出回っていることが明らかになった。 この新マルウェアを発見した研究者らは、これを「Linux/IRCTelnet」と名付け、コードの分析をサイト「Malware Must Die」で公開した。 研究者チームによれば、Linux/IRCTelnetは過去に脆弱性を持つモノのインターネット(IoT)デバイス(ルータ、スマート照明システム、監視カメラなど)の乗っ取りに使われたものに似ているが、部分的にはトロイの木馬「Tsunami」や「Kaiten」のプロトコルや、「Bashlite」のコードが流用されているという。 このマルウェアは、デフォルトのパスワードやハードコードされたパスワードが使われている場合もあるIoTデバイスを標的としたものだ。それに加え攻撃コードには、さまざまな攻撃手法のためのコードが含まれて
■はじめに Linux IoTマルウェアについて、僕が書いている英語のブログ/MalwareMustDieで最近結構研究しています。色んなマルウェア種類を発見し、そのマルウェアの感染目的は殆どボットネット、DDoS、ハッキング踏み台、スパムのプロキシ、など。 一つの種類は2年前MalwareMustDieのチームで「ShellShock」の時代にはじめて発見しましたELF/DDoSトロイ「GayFgt/Torlus/LizKebab/Qbot/Bashdoor/Bash0day/Bashlite」のマルウェアですね。名前が沢山ありますが同じ物で、「LizardSquad」が作ったマルウェアです。 当時僕がそのGayFgtのマルウェアをリバーシングしながらそのままでVirusTotalにレポートを書きました。その時の調査実績の証拠はこのゼロデイジャパンのブログに残しました。 今はshells
■はじめに まず、「DNSアンプ攻撃」が分からない方はこちらをご覧下さい。そしてDNS「オープンリゾルバ/Open Resolvers」についてはこちらのリンクに纏めて説明しています。 「DNSアンプ攻撃」と「オープンリゾルバ」の関係は↓ Open Resolvers pose a significant threat to the global network infrastructure by answering recursive queries for hosts outside of its domain. They are utilized in DNS Amplification attacks リファレンス: Open Resolver Project openresolverproject.org 大体4月中旬から少しずつ日本国内に悪用された「DNSアンプ攻撃」のIPレポ
Background On Mon, Aug 29, 2016 at 5:07 PM I received this ELF malware sample from a person (thank you!). There wasn't any detail or comment what so ever just one cute little ARM ELF stripped binary file with following data: arm_lsb: ELF 32-bit LSB executable, ARM, EABI5 version 1 (SYSV), statically linked, stripped hash: a220940db4be6878e47b74403a8079a1 This is a cleanly GCC: (GNU) 5.3.x compiled
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く