Automatically Extracting Obfuscated Strings from Malware using the FireEye Labs Obfuscated String Solver (FLOSS) | Mandiant | Google Cloud Blog
Automatically Extracting Obfuscated Strings from Malware using the FireEye Labs Obfuscated String Solver (FLOSS) Written by: Moritz Raabe, William Ballenthin Introduction and Motivation Have you ever run strings.exe on a malware executable and its output provided you with IP addresses, file names, registry keys, and other indicators of compromise (IOCs)? Great! No need to run further analysis or h
エンジニアが知っておくべき”iWorm” | DevelopersIO
おはようございます、せーのです。 先日のイベントでは久しぶりに新たなガジェット「Apple Watch」が発表され、最近では近々新型のiPadが出るとか、攻めの姿勢で突っ走るAppleですが人生山あり谷あり、いいことばかりではありません。 先日よりmacが対象となっている新しいマルウェア、その名も「iWorm」が猛威を振るっております。 私の部屋もmacだらけですのできちんとチェックすると共に、エンジニアとしてそもそもiWormって何なのよ、というところを押さえておきたいと思います。 経緯 最初にこのマルウェアを発見したのはロシアのセキュリティ企業Dr. Webでした。Dr. Webはサイトにて声明を発表しましたがこの時点で既に17,000台ものmacが感染された後でした。マルウェアの正式名称は「Mac.BackDoor.iWorm」、C++とLUAを使って書かれており、感染源は不明(後述
New Mac OS X botnet discovered
September 29, 2014 In September 2014, Doctor Web's security experts researched several new threats to Mac OS X. One of them turned out to be a complex multi-purpose backdoor that entered the virus database as Mac.BackDoor.iWorm. Criminals can issue commands that get this program to carry out a wide range of instructions on the infected machines. A statistical analysis indicates that there are more
Mac malware signed with Apple ID infects activist’s laptop
Stealthy Mac OS X spyware that was digitally signed with a valid Apple Developer ID has been detected on the laptop of an Angolan activist attending a human rights conference, researchers said. The backdoor, which is programmed to take screenshots and send them to remote servers under the control of the attackers, was spread using a spear phishing e-mail, according to privacy activist Jacob Appelb
AIDE - Advanced Intrusion Detection Environment
AIDE (Advanced Intrusion Detection Environment, [eyd]) is a file and directory integrity checker. It creates a database from the regular expression rules that it finds from the config file(s). Once this database is initialized it can be used to verify the integrity of the files. It has several message digest algorithms (see below) that are used to check the integrity of the file. All of the usual
久久综合九色综合97首页-97婷婷色综合视频,国产91色综合久久
著名画家杨飞云说过:最高境界的人像作品需体现出一种灵性,杨飞云最喜欢文艺复兴时代大师的杰作,那纯粹是对人性的赞美对正义的歌颂,甚至散发着神性光辉。 杨飞云 我一直以……
rEFIt - An EFI Boot Menu and Toolkit
The rEFIt Project rEFIt is a boot menu and maintenance toolkit for EFI-based machines like the Intel Macs. You can use it to boot multiple operating systems easily, including triple-boot setups with Boot Camp. It also provides an easy way to enter and explore the EFI pre-boot environment. On this page: News - Download - Troubleshooting - Resources Other pages: Documentation - Troubleshooting - Scr
Mac OS Xを狙った初のエクスプロイト
2012年2月14日掲載 株式会社Doctor Web Pacific DoctorWebは、Mac OS Xプラットフォーム上で動作するデバイスをトロイの木馬に感染させてしまう脆弱性を発見しました。Mac OSは世界で最も安全なOSの1つであると考えられています。しかし攻撃者達は既知の脆弱性を悪用し、Javaによって脅威を拡散しました。 Mac OS Xコンピューターを感染させるためにJavaの脆弱性を利用しようと考えた最初のハッカーは、感染したサイトを介して拡散されるトロイの木馬BackDoor.Flashbackの開発者達でした。このマルウェアのインストーラーはAdobe Flash Playerインストーラーを装っています。ユーザーはFlashPlayer-11-macos.pkg ファイルを含んだアーカイブをダウンロード・インストールするよう促され(他のOS上ではダウンロード出来
Mac Memory Reader™
Mac Memory Reader is a simple command-line utility to capture the contents of physical RAM on a suspect computer, letting an investigator gather volatile state information prior to shutting the machine down. Results are stored in a Mach-O binary file for later off-line analysis by the investigator. Mac Memory Reader is available free of charge. It executes directly on 32- and 64-bit target machi
Hopper
Loading… This website is NOT compatible with this version of Internet Explorer… Hopper Disassembler, the reverse engineering tool that lets you disassemble, decompile and debug your applications. Hopper Disassembler for Mac requires macOS 10.13 or higher. Hopper Disassembler for Linux requires Ubuntu 18.04, Arch Linux, Fedora 25 or higher, and a 64 bits processor. Native Hopper is perfectly adapte
エフセキュアブログ : 「DevilRobber」のアップデート版が登場
「DevilRobber」のアップデート版が登場 2011年11月16日19:39 ツイート fsecure_corporation クアラルンプール発 by:スレットソリューションチーム 我々は「Backdoor:OSX/DevilRobber」のアップデート版を発見した。これについては以前、記事を掲載している。 このアップデート版は、正当なアプリケーションに偽装するため、以前のものと同様のテクニックを使用しているが、今回は「PixelMator」と自称している。 同マルウェアの「dump.txt」ファイルによれば、この最新版バックドアは「Version 3(v3)」とされている。 「DevilRobberV3」に見られる大きな違いは、配布の方法が異なり、「従来型の」ダウンローダ方式であるという点にある。 我々が分析した「DevilRobberV3」サンプル(1c49632744b19
RLOの実験 | Okumura's Blog
RIGHT-TO-LEFT OVERRIDE(U+202E,UTF-8: E2 80 AE)のMac OS Xでの実験: cd ~/Desktop touch `ruby -e 'print"S\xe2\x80\xaetxt.exe"'` これでS[RLO]txt.exeというファイルができる。デスクトップを見たら拡張子がtxtのように見える。 すでにこの偽装法を使ったウイルスはWinnyのネットワークで広まっているという(Winnyネットワークはやっぱり真っ黒,NTTコミュニケーションズの小山氏に聞く:ITpro)。右クリック→「プロパティ」(Mac OS Xでは「情報を見る」)で一番上の「のプロパティ」(Mac OS Xでは「の情報」)が逆になっているので見破れる。 [2007-04-22追記] スラッシュドット ジャパン | Winnyネットワークに広がるRLO利用の拡張子偽装手法
エフセキュアブログ : バックドア:OSX/DevilRobber.A
バックドア:OSX/DevilRobber.A 2011年11月04日16:13 ツイート fsecure_corporation クアラルンプール発 by:ブロデリック・アキリノ 我々は先頃、Mac OS Xマルウェアで、バックドアとトロイの木馬的な機能を持つ「DevilRobber.A」を分析した。現在までに収集したサンプルはすべて、「The Pirate Bay」サイトの一つのユーザアカウントによりアップロードされたものだ: これら共有されたファイルは、正当なMacアプリケーションだが、マルウェアのコンポーネントを含むよう修正されていた。我々が入手したサンプルには、そのコンポーネントのバリエーションがあり、これは、いくつかのサンプル(亜種)には追加の機能が存在するということを意味している。 同マルウェアの作者には、それぞれの制作物にさまざまな目的があったようだ。亜種の一つは、感染し
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
New Attack, Old Tricks
https://security.love/Pastejacking/
https://googledrive.com/host/0B_qgg13Ykpypekw4d2hwLVJmeDg/REMacMalware.pdf
5509.me
Amazon.co.jp: Mac OS X and iOS Internals: To the Apple's Core: Levin, Jonathan: 本
MacForensicsLab - MacForensicsLab.com
Papers