防衛装備に関連した調査報告書を偽装した攻撃 | セキュリティ研究センターブログ
先週弊社では、防衛装備に関連した調査報告を偽装したドキュメントを使った攻撃を観測しました。皆様に注意喚起を促す目的で、調査の一部を共有したいと思います。 防衛装備に関連した調査報告を偽装したドキュメントは、図1のように、WORDやPDFを偽装した二重拡張子のファイルで、おそらくメールに添付されたかたちで標的企業に配送されたと見られます。 図1、WORDやPDFで防衛関連の調査報告書を偽装したEXEファイル SHA256 (PDF偽装ファイル) : dc7521c00ec2534cf494c0263ddf67ea4ba9915eb17bdc0b3ebe9e840ec63643 SHA256 (DOC偽装ファイル) : 42da51b69bd6625244921a4eef9a2a10153e012a3213e8e9877cf831aea3eced [動作概要] ファイルを実行した場合、WORD
マルウェア解析奮闘記 WannaCryの解析 | セキュリティ研究センターブログ
2017年5月12日夜間頃より世界規模で攻撃が観測されているWannaCryの解析結果をお知らせします。WannaCryの動作概要と、ランサムウェアとしては新しい動作となる、キルスイッチとMS17-010脆弱性をついた感染拡大の部分については、少し詳しく解説していきます。 今回調査に用いた検体は、VirusTotalよりダウンロードした以下のSHA256ハッシュ値を持つWannaCryのドロッパー検体です。亜種の存在の報告もあがっており、挙動が異なる可能性もあるため、最初にこの点に触れておきたいと思います。 SHA256 : 24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c [概要] WannaCryはドロッパーEXEの実行で開始され、開始直後に、キルスイッチと名付けられたURLにアクセスします。 http:/
VirusTotalへアップロードされる機微情報
標的型攻撃等に対する警戒心の高まりから、以前にも増して、VirusTotalを活用される企業が多くなっているかと思います。疑わしいファイルを無料で分析できるため、気軽に使える反面、機微な情報を含むファイルをアップロードしてしまった場合、他の組織に入手されてしまうリスクがあります。いったんVirusTotalにアップロードしてしまったファイルは、それがマルウェアか否かに関係なく、VirusTotal Intelligence(有償サービス)の契約ユーザが自由に入手できることを意味します。 アンチウイルスベンダーをはじめ、多くのセキュリティベンダーは、VirusTotal Intelligenceを契約し、VirusTotalにアップロードされるマルウェア検体を分析することで、脅威の動向を把握しようと努めています。弊社も、特に日本からアップロードされるマルウェア検体を入手することで、脅威の動向
Emdiviを使う攻撃者の素性 | セキュリティ研究センターブログ
世間で大きく報道されているマルウェアEmdivi(エムディヴィ)やCloudyOmega(クラウディオメガ)に関連する件において、被害組織に対する非難の報道が多い一方で、本当に非難するべき対象は攻撃者であり、攻撃者に関する情報がほとんど報道されていないように見受けられます。この状況を少しでも変えるべく、弊社が把握している情報を、差支えのない範囲で共有させて頂きます。 なお、この記事は、Emdiviと呼ばれるRAT(Remote Access Tool)に分類されるマルウェアに関する内容であり、今年1月の記事の続報であります。 弊社が今までに捕獲したEmdiviのマルウェア検体、およびそれらの接続先であるC2サーバのホスト名とIPアドレスの相関をまとめたものが図1の通りです。黄色がマルウェアのハッシュ(ドロッパおよびRAT本体)、青色がC2サーバのホスト名、緑色がC2サーバのIPアドレスを示
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
