タグ

ブックマーク / blog.f-secure.jp (9)

  • エフセキュアブログ : なかなか減らない Exif Webshell Backdoor

    なかなか減らない Exif Webshell Backdoor 2015年01月31日00:00 ツイート hiroki_iwa1 オフィシャルコメント  by:岩井 博樹 最近、Exif Webshell Backdoor などの画像ファイルを用いた攻撃手口に注目しています。 2013年に報告のあったExif Webshell Backdoor ですが、相変わらず多くのウェブサイトで確認されており、一部のセキュリティ研究者は改めて注意を促しています。筆者もほぼ毎日同様の検体を確認していますので、恐らくbotによる攻撃ではないでしょうか。 この Webshell Backdoor は画像ファイルのExif情報内に悪性コードを埋め込んでいます。 #下図は”Camera Model Name”の情報を悪性コードに改竄されたケースです。 これらの細工されたファイルは、一見すると普通の画像ファイル

    エフセキュアブログ : なかなか減らない Exif Webshell Backdoor
  • エフセキュアブログ : FIRST2014で感じた”Information Sharing”の難しさ

    FIRST2014で感じた”Information Sharing”の難しさ 2014年06月30日23:31 ツイート hiroki_iwa1 オフィシャルコメント  by:岩井 博樹 CSIRT関連のコミュニティで知られるFIRSTカンファレンスへ参加してきました。 今年のキーワードの1つは「Information Sharing」でした。 昨今のサイバー攻撃の大規模化、および巧妙化が進んでいる状況を踏まえ、改めて注目を浴び始めているように思います。 興味深かったのは「Information Sharing」を情報共有というよりは、如何に鮮度の良い情報を出していくか、といったところに主眼が置かれていた点です。まずはインシデント情報をどんどん出していこう、といった意味合いでです。 これは何故かというと、ひとつのインシデントが一組織だけで解決しなくなってきた為です。 例えば、下図のように攻

    エフセキュアブログ : FIRST2014で感じた”Information Sharing”の難しさ
  • エフセキュアブログ : デジタル活動家が検閲不可能なネットワークを構築

    デジタル活動家が検閲不可能なネットワークを構築 2012年02月22日22:43 ツイート sean_sullivan ヘルシンキ発  by:ショーン・サリバン Scientific Americanの3月号に、企業や政府のインターネット管理を回避するための、デジタル活動家による試みに関する興味深い記事を掲載している。現在の目標は、ブロックやフィルタリング、停止されることのない分散型のメッシュネットワークの設計および構築だ。 昨年「アラブの春」の騒動でエジプトのインターネットが遮断されたことが、インスピレーションを与える重要な契機となった。 Image: Scientific American Magazine 「シャドー」ネットワークを設計することで、活動家はセントラル・ハブがオフになっても、コミュニケーションをとり続けることが可能だ。 Image: Scientific America

    エフセキュアブログ : デジタル活動家が検閲不可能なネットワークを構築
  • エフセキュアブログ : PDFからのプログラム実行をとりあえず防いでみる

    PDFからのプログラム実行をとりあえず防いでみる 2010年04月01日18:30 ツイート hiroki_iwai オフィシャルコメント  by:岩井 博樹 Didier Stevens による PDF のデモの話題が盛り上がっているようなので、、、 mikko hypponen がお勧めしていた gPDF はネット上に公開されたもののみ有効。デスクトップ上に保存された PDF は結局Adobe Reader や Foxit Reader などを使わざるを得ません。従いまして、その他のリスク緩和策を考える必要があります。 今回問題になっているのは /Action /Launch を利用することで、PDF ファイルを介してプログラムが実行できてしまうことです。 単純に考えますと、/Launch が呼び出されなければ良さそうです。(当にこれだけでいいのかな??) これらに関係しているのは、

    エフセキュアブログ : PDFからのプログラム実行をとりあえず防いでみる
  • エフセキュアブログ : 「Diginotar」がBlack.Spookとイランのハッカーによりハッキング

    「Diginotar」がBlack.Spookとイランのハッカーによりハッキング 2011年08月30日18:05 ツイート mikko_hypponen ヘルシンキ発  by:ミッコ・ヒッポネン 「Diginotar」はオランダの認証局で、SSL証明書を販売している。 2011年7月10日、何者かが何らかの形で、彼らから不正なSSL証明書を獲得することに成功した。この証明書は、ドメイン名「.google.com」用に交付されたものだ。 このような証明書で何をすることができるのだろうか? まず、Googleになりすますことができる。最初にgoogle.comに対するインターネットトラフィックを、自分に対してリルートできるならばだが。これは政府や不正なISPによって行える事だ。このようなリルートは、その国もしくはそのISPのもとにいるユーザしか影響を及ぼさない。 しかし、何故Googleをイ

    エフセキュアブログ : 「Diginotar」がBlack.Spookとイランのハッカーによりハッキング
  • エフセキュアブログ : エジプト、FinFisher侵入ツールそして倫理

    エジプト、FinFisher侵入ツールそして倫理 2011年03月08日18:17 ツイート mikko_hypponen ヘルシンキ発  by:ミッコ・ヒッポネン エジプト、チュニジア、リビア、バーレーンなど、アラブ世界に不穏な空気がある。 2日前、エジプト・ナスルの抗議者たちがエジプト国家保安部を占拠した。 部内で、抗議者達は多くの国家機密書類にアクセスした。 それら書類の中に、コンピュータセキュリティに密接に関連するものがあった。「FinFisher」という製品のオファーが、エジプト国家保安調査局に送られたというのだ。 注:我々はこの書類の発信元を確認することはできない。受けとったのはMostafa Husseinからだ。全文書はここからダウンロードできる[pdf、1.3MB]。 「FinFisher」は、侵入及びスパイソフトウェアフレームワークで、ドイツの企業により開発、販売さ

    エフセキュアブログ : エジプト、FinFisher侵入ツールそして倫理
  • エフセキュアブログ : 消えそうで消えないAndroidマルウェアの登場か!?

    消えそうで消えないAndroidマルウェアの登場か!? 2011年03月05日01:30 ツイート hiroki_iwai オフィシャルコメント  by:岩井 博樹 先日の記事にも取り上げられていますDroidDream(Rootcager)についてです。 記事にもあります通り、「rageagainstthecage」を利用しroot権限を奪取します。 その後にパッケージなどをダウンロードしたりします。詳細はこちら。 参考URL: 新たな Android の脅威による端末の root 権限の取得 Android Marketでマルウェア入りアプリケーションが配布されたことも驚きですが、マルウェアによるroot権限の奪取は、「ついに来たか!」といった印象を持ちました。 $ pwd $ SuperSolo/assets $ ls -l total 184 -rw-r--r--  1 analy

    エフセキュアブログ : 消えそうで消えないAndroidマルウェアの登場か!?
  • エフセキュアブログ : ZeuS Mitmoが再び攻撃:ポーランドING銀行

    ZeuS Mitmoが再び攻撃:ポーランドING銀行 2011年02月21日22:50 ツイート sean_sullivan ヘルシンキ発  by:ショーン・サリバン 今日、ポーランドから最新ニュースがあった:ZeuS trojanの亜種が、「ING Bank Slaski(ポーランドING銀行)」が使用している、モバイルフォンベースの2要素認証を標的としているというものだ。 セキュリティコンサルタントでありブロガーでもあるPiotr Koniecznyが、自分のブログ「Niebezpiecznik」に詳細(Google翻訳)を書いている。 我々がこれまでに集めた詳細から見て、これは昨年スペインで起こったZeuS Man in the Mobile攻撃と同種のもののようだ。スペインセキュリティ会社「S21sec」が、ZeuS Mitmo(Man in the Mobile)について、最

    エフセキュアブログ : ZeuS Mitmoが再び攻撃:ポーランドING銀行
  • エフセキュアブログ : あまりにも誇張されている「AutoRun」終焉のニュース

    あまりにも誇張されている「AutoRun」終焉のニュース 2011年02月15日22:56 ツイート sean_sullivan ヘルシンキ発  by:ショーン・サリバン 先週、私はWindows XPテストマシンの一台に、Microsoft Updatesを適用し、「AutoPlayダイアログのAutoRunエントリを、CDおよびDVDドライブのみに」制限するオプショナルアップデートに注目した。 上の画像から、このアップデートがオプショナルであることが分かるだろう。 だが、同アップデートに関するMicrosoftのブログ記事は、これを「重要な非セキュリティアップデート」と呼んでいる。 重要なアップデートは、Microsoft Updatesにより自動的に適用される。 その結果、多くの歓喜が起こり、AutoRunは終焉を迎えたと宣言された。 しかし、ちょっと待って欲しい! Larry Se

    エフセキュアブログ : あまりにも誇張されている「AutoRun」終焉のニュース
  • 1