チェックするランサムグループを入れ替えたのでSnatchとBlackCatのことも調べたメモ
■はじめに 世間が本格的にコロナ禍になったと言える初回の緊急事態宣言が行われた2020年4月頃から以前から関心のあった、窃取した情報の公開、売買を行うランサムグループのリークサイトを定期的に確認し、記録を取るということを始めました。初めは手動で毎日時間の空いたときにチェックをしていましたが、それでは追いつかないため自動巡回し、通知、ログの保存を行うスクリプトを作り、改良を重ねて始めた頃と比べると幾分楽になりました。それにより情報の中身や集計などの時間を割くこともできるようになりました。このブログでも過去に2回のエントリーを掲載しています。 ・標的型ランサム観察記 2020年10月31日まで版 ・標的型ランサム観察記 2021年振り返り版 全体編 また、あるときからチェックしているランサムグループのリーク数をランキング形式にして毎月、月初め頃にツイートするようになりました。今回はそのチェック
標的型ランサム観察記 2021年振り返り版 全体編
■はじめに 1年以上前となりますが、このブログで「標的型ランサム観察記 2020年10月31日まで版」というエントリを書きました。そちらでは、2020年4月から始めた標的型ランサム攻撃(TargetedではなくHuman Operatedと呼ぶべきかもしれませんがここでは便宜上標的型ランサム攻撃とします)の観察・記録から見えてきたことを書きました。ポッドキャストやTwitterを通じて自身の調査したことなどをその都度、発信してはいましたがブログではまとめた情報を発信していませんでした。そこで今回は2022年を迎えたということもあり、2021年の間、標的型ランサム攻撃を観察、記録してきた結果を共有いたします。 ■何を観察・記録してきたのか? 観察の対象は、基本的にランサムグループのリークサイトです。昨今のランサムウェア攻撃は、皆さんがご存じの通りファイルやシステムのロックだけではなく、情報窃
FireEyeが窃取されたレッドチームツールに含まれる優先的に対処すべきCVEリスト
FireEyeが12月8日付のブログで標的型攻撃を受け、社内で開発したレッドチーム用攻撃ツールが盗まれたことを公表しました。 発表ではゼロデイの脆弱性を利用する手法は含まれていないとのことですが様々な既知の脆弱性をテストするための手法が納められており、それらが攻撃者の手に渡ることでその攻撃者が利用したり、それが公開され多くの攻撃者が利用することも想定されます。その想定される事態のためにFireEyeは、盗まれたツールが検証する脆弱性についての情報を公開しました。公開した情報にはツールに含まれている攻撃を検知するために、Snort、ClamAV、Yaraの検知ルールなどが含まれているのですが、ツールが利用する脆弱性のうち優先的に対処すべき脆弱性のCVEリストを公開しています。 それらについて一覧表にしましたので共有します。 過去に国内でも利用され被害が報じられた脆弱性も含みますが、これを良い
標的型ランサム観察記 2020年10月31日まで版
■はじめに 2015年末に強くランサムウェアに興味を持ち、2017年に韓国ウェブホスティング企業を標的としたランサムウェア攻撃を知り、当時こういったものが後に益々増えてくることを危惧していました。 そして、世界全体がコロナ禍となり、自宅での仕事が増えはじめた4月頃から標的型ランサムの攻撃者が増えてきたことと腰を据えて仕事がしやすくなったということもあり可能な範囲で自分なりに記録を取るようにしていました。ボクのTwitterを見てくださっている方は、ご存じかとは思いますが不定期にそれらをまとめたものをツイートしていました。たまにいただく講演のお仕事でも発表しておりました。そこでふと思い立ってこのエントリを書いています。別段、暇で暇でしょうがないというわけではなく、むしろこの時期は逆なのですが、色々と立て込むと逆にこういうことがしたくなるんですよね。 というわけで、ボクが観察、記録した標的型ラ
「Have I Been Pwned」のメールアカウント漏洩通知サービス「Notify me」と「Domain search」登録メモ | (n)inja csirt
「Have I Been Pwned」のメールアカウント漏洩通知サービス「Notify me」と「Domain search」登録メモ memo 今年度に入ったあたりからメールとパスワードのセットが流出しているであるとか、売買されているというニュースやリリースなどが目立つと感じています。 そういった内容を受けてかプライベート、仕事の繋がりのある方からお問い合わせをいただくこともあります。問い合わせの内容としては「あなたのところの組織のメールアドレスとパスワードがダークウェブで売買されているのを発見した。それについての情報提供が必要であればうちのサービスを契約しませんか?」という売り込みを受けたのだが、何か情報持ってない?といったような類いのものです。こうした状況はあまりよろしくない気がするので、そんな状況を少しでも緩和することができそうな「Have I Been Pwned」というサイトの
外務省職員を発信元と詐称する巧妙な(?)不審メール調査メモ
2017年11月2日に外務省より 「外務省職員を発信元と詐称する巧妙な不審メールにご注意ください」 というお知らせが掲載されました。(魚拓) 今回はそちらの件について調査を行いましたので、その調査結果を共有します。 お知らせの内容は以下の通りでした。 外務省職員名を詐称し,ウィルス付きファイルが添付されたメールや,不審なサイトへのリンク先が書かれた不審メールが送信される事例が継続して確認されています。 不審メールは,その時々に起きている国際情勢を題材としており,かつ,その担当者からのメールを装った極めて巧妙なものとなっています。 このような「詐称メール」をはじめ,発信元や内容に心当たりのないメール(特に発信元がフリーメールのもの)を受信された方々におかれましては,添付ファイルを開いたり,リンクをクリックされたりせずにメールごと削除なさるようお願いいたします。 なお,外務省では,第三者中継(
日本学術振興会を騙った標的型攻撃メール 調査メモ
お世話になっております。 今年度の科学研究費助成事業(科学研究費補助金)の 繰越についてお知らせいたします。 翌年度に繰り越すことができるのは、計画の変更等に伴い当該年度中に使用する ことができなかった科研費です。例えば、研究計画の終了後に余った科研費は、 繰越の対象にはなりません。 ■申請の有無についての回答期限 平成29年1月26日(木) 12時【厳守】 ■○○係提出期限 平成29年2月2日(木) 12時【厳守】 ―――共通―――――――――――――――――――――――――――――― ※特別研究員奨励費の場合、最終年度の方は科研費を繰り越すことができません。 ※基金化されている課題については、手続きなく繰越が可能です。 ※他機関から配分を受けている分担金の場合、繰越申請は代表者の研究機関にて 取りまとめます。締切は各所属機関によって違いますので、速やかに代表者の 先生にご連絡ください。
富山大学 水素同位体科学研究センターへの攻撃に利用された通信先調査メモ
2016年10月10日に読売新聞社により富山大学の水素同位体科学研究センターへのサイバー攻撃が報じられました。(記事 / アーカイブ) それを受けて富山大学より「「富山大学水素同位体科学研究センター」における標的型サイバー攻撃に関する報道について」というリリースが出され(リリース / アーカイブ)、その1日後に「富山大学水素同位体科学研究センターに対する標的型サイバー攻撃について」というリリース(リリース / アーカイブ)と共に事案の概要を記したドキュメントが出されました(PDF / アーカイブ)。そのドキュメントには事件の経緯の他、調査結果に不正な通信先の記述がありました。このリリースの発表時期についてはメディアの報道がきっかけとなったことは残念ではありますが、このような情報を共有すること自体は素晴らしいと思います。そこで今回はその通信先情報から調査を行ったので、その結果について共有しま
ランサムウェア Petya & Mischaに感染してみました。
以前のエントリーで「ランサムウェア Petyaに感染してみました。」というものを投稿しました。そちらはファイル暗号型のランサムウェアではなく、ハードドライブへのアクセスを行えないように人質に取るタイプのものでした。 そのため、Petyaを実行した環境がUAC(ユーザアクセス制御)が有効になっている環境で実行した場合に「いいえ」を選択すると被害に遭うことを回避することが可能でした。 しかし、今回、検証した「Petya & Mischa」はファイル暗号型とディスク暗号型(厳密にはMBRやMFTに作用していおりディスク全体を暗号化していないと思われますが)の双方を備えており、実行時にユーザが変更の許可をUACにて許可するかしないかによって結果が変わるというものでした。 上図にように変更を許可すると「Petya」によるディスク暗号型の処理が実行され、変更を許可しなかった場合「Mischa」によるフ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「出書([日付])野田.zip」調査メモ![「出書([日付])野田.zip」調査メモ](https://cdn-ak-scissors.b.st-hatena.com/image/square/38332bdc41a65d7c118d8955c807edc9e581ac32/height=288;version=1;width=512/http%3A%2F%2Fcsirt.ninja%2Fwp-content%2Fuploads%2F2016%2F06%2F04.png)
ランサムウェア CRYPTOLDESH に感染してみました。
(n)inja csirt