In many cases Red Team tools are not written because someone feels like writing a tool, or wakes up one morning thinking, “I want to write a tool today”. Red Teamers generally identify tedious tasks in their methodology and then create tools that automate these tasks for current and future assessments. As my boss likes to say, jokingly: laziness breeds ingenuity! At Mandiant, we’ve developed (or s
巧妙化する標的型サイバー攻撃。企業・組織の現場担当者からは、「自組織内に知見が少ない中、どうやって攻撃を発見・対処すべきか」という声が聞かれる。この特集では、攻撃者がどんな目的で攻撃するのかを解説し、企業・組織の現場担当者がどう対応すべきか、実践的な対策を提案する。 前回の記事:手法再現で理解する、標的型攻撃を受けた端末は一体何をされるのか(2) 攻撃者は、痕跡を偽装、消去する 攻撃者は、目的を達成すると自身の活動の痕跡を偽装したり、消去したりします。痕跡消去の代表的な手法はWindowsのイベントログなど、各種ログの削除があります。実際には、サーバーのイベントログなどのローテイトサイクルを悪用して削除タイミングにシステムの時刻をずらし、自身の認証情報を隠ぺいし時刻を戻すといった事例を確認しています。 他の痕跡消去のケースでは、目的達成後に不要になったバックドアをCMDなどの正規ファイルで
巧妙化する標的型サイバー攻撃。企業・組織の現場担当者からは、「自組織内に知見が少ない中、どうやって攻撃を発見・対処すべきか」という声が聞かれる。この特集では、攻撃者がどんな目的で攻撃するのかを解説し、企業・組織の現場担当者がどう対応すべきか、実践的な対策を提案する。 前回の記事:手法再現で理解する、標的型攻撃を受けた端末は一体何をされるのか(1) 攻撃対象を調べ、情報を探索する 攻撃者は管理者権限を取得後に、機密情報を入手するためにネットワーク内の探索を行います。一般的に、「ipconfig」「net view」「netstat」といったWindows標準のコマンドを使用します。また、Active Directoryのオブジェクトを検索する「dsquery」ツールやActive Directoryのデータをインポートおよびエクスポート可能な「csvde」ツールといったMicrosoftが提
巧妙化する標的型サイバー攻撃。企業・組織の現場担当者からは、「自組織内に知見が少ない中、どうやって攻撃を発見・対処すべきか」という声が聞かれる。この特集では、攻撃者がどんな目的で攻撃するのかを解説し、企業・組織の現場担当者がどう対応すべきか、実践的な対策を提案する。 前回の記事:攻撃者視点で考えるサイバーアタック、異常すぎる「普通の動き」を検知できるかがポイント 攻撃対象のホスト名を確認する不正プログラム事例 標的型サイバー攻撃が、その標的に特化した攻撃を継続的に行うと言われるゆえんについて一例を用いて説明します。図2は、国内のある企業が標的型サイバー攻撃を受けた際に、発見された不正プログラムのコードの一部です。 gethostname関数でホスト名を取得し、strupr関数で小文字を大文字に変換後、strstr関数で大文字にしたホスト名の最初の2文字をハードコードされた文字列と比較し、マ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く