Koichi
@x64koichi
Followers
1,749
Following
619
Media
320
Statuses
2,793
Cyber Security Consultant. DFIR, Reverse Engineering, Penetration testing, HW hacking, Cyber Threat Intelligence, Threat Hunting. All opinions are my own.
Tokyo
Joined December 2008
Don't wanna be here?
Send us removal request.
Explore trending content on Musk Viewer
#रामचरितमानसअनुसारमोक्षकैसेहो
• 182172 Tweets
jeno
• 167858 Tweets
Watch Factful Debates YouTube
• 141979 Tweets
Colorado
• 74461 Tweets
Oklahoma
• 56435 Tweets
Tennessee
• 41503 Tweets
秋分の日
• 38126 Tweets
秒速5センチメートル
• 35532 Tweets
#อ๋อมอรรคพันธ์
• 34160 Tweets
Travis Hunter
• 33565 Tweets
オールカマー
• 28159 Tweets
神戸新聞杯
• 26182 Tweets
Dhyan Mahima
• 23618 Tweets
Shedeur
• 21870 Tweets
ショウマ
• 18353 Tweets
ダブルドライバー
• 16604 Tweets
設営完了
• 14484 Tweets
Hawkins
• 12833 Tweets
土砂降り
• 11726 Tweets
Heisman
• 11316 Tweets
BINI BACK ON GFEST
• 10594 Tweets
今日発見したフィッシングメール。リンク部分にカーソル合わせても正規のドメイン・・にみえるけど、実は@以降のURLエンコードされた部分が不正ドメインです。アクセス先のドメインURLエンコードしてもちゃんとブラウザでアクセスできちゃうんですね・・・
13
2K
3K
KADOKAWAのランサムはどう考えても違和感があります。
・通常は脅迫サイトで交渉するのにメールでやりとり
・攻撃者がメールで本名を伝えるのは過去例がない
・一度支払い後の追加請求は信頼失墜にも繋がる
なんとなくランサムグループの名前を使ってるだけのように思いません?
7
426
2K
ある不正スクリプトを調べると、に過去にアーカイブされたL(デスノート)の画像を取りに行ってました。この画像の中を調べるとバイナリの末尾にBASE64のテキストが埋め込まれていて、変換するとEXEのSmokeLoader!EXEをローカルで実行すればワンチャンEDRが検知するか・・
1
268
793
攻撃者が企業環境への入口を探す場合、このあたりのURLを調査対象にしてるようです<ロシア語アンダーグラウンドコミュニティより
RDWebはWindows標準の機能(Web経由のRDPアクセス)なんですね。使ったことなかったので知りませんでしたが、これは危険だ・・
1
124
384
EDRの信頼度がやけに高いお客さん結構多いのですが、EDRあれば全部防ぎますなんて売り方してるところがあるんでしょうかね・・EDRの検知回避方法についてのこの資料も大変参考になります。
2
36
232
DDoS攻撃してたKillnetのユーザ情報が漏洩してますが、数字だけのパスワードが結構あるし、DBにパスワードが平文で格納されてるとこなんかも見るとやはり専門家でなく一般人なんだろうというのがよくわかる。
2
43
218
Lockbitのサーバ差し押さえに成功したのはPHPの脆弱性(CVE-2023-3824)が起点になってるんですね。脆弱性管理重要!
1
63
216
本名記載されてるところ。ランサムグループ関係者の本名特定できただけで大きなニュースになるのに、自分から本名でメールなんてありえないでしょう。
2
46
203
2024年2月からGoogle(Gmail, Workspace)にメール送信する環境は、SPFまたはDKIM必須。1日5,000通以上のメール送信する環境の場合はDMARCも必要(ポリシーはnoneでいいけど、アライメントまで正しく設定が必要)になる様子。
0
90
159
昨年あたりからBrowser in the Browser(BITB)と呼ばれる手法のフィッシングを観測してます。フィッシングサイト上で認証方式を選択(MS, Gmail等)すると、認証ウインドウをポップアップしますが、実はこれがニセのウインドウで、入力した情報はGmailに送られるのではなく攻撃者の手に渡ります。
0
100
154
米国政府がlog4shellによって侵入されてDCまでやられちゃった件、利用されたスクリプトの記録が残ってました。最後webhook[.]siteにデータ送ってますね。便利なサービスが増えてくると世紀サービスが悪用されちゃうケースも増えて、追跡やブロックも困難になるんでしょうね。
1
42
117
SonyとDocomoがランサムの被害にあってるよう。ここ最近日本での被害が多いですね。Docomoは約1億5千万円の請求、Sonyは支払ってくれないと読んで盗んだデータを販売することにしたようです。
0
47
113
攻撃による外部通信も正規サイトを悪用する手口なんていくらでもあるから検知はどんどん難しくなりますね。からの画像ダウンロードを不審だと気づける組織はどれだけあるのやら・・
1
31
108
Lockbitのダッシュボードにアクセス可能だったユーザの一覧も公開されました。この一覧にあるユーザはLockbitのアフィリエイトですが、一部日本人の名前も含まれてますね。HideoとTakashi。
1
41
108
サイトのコードで検索できるサイト。改ざんされた際に埋め込まれるコードの一部で検索すると、改ざんされたサイトの一覧を確認することができます。これはBaladaにやられたサイトの一覧。
0
12
98
@enjoy_ctf
確かに仰る通り。とはいえ、情報があれば公開するのがメディアなので、どちらかというとこれだけの機微な情報を外部にリークしてしまった情報統制にも問題があると言えるのかもしれません・・
0
13
94
これも割と新しい手口。WebのスクリプトによってWindowsエクスプローラーでファイル検索させて外部WebDav上のファイルをエクスプローラー上に表示させる。ローカルのファイルだと思って開いてしまうと感染してしまう検索機能を悪用した手法。
1
33
93
EDRはAPIをHookすることによってマルウェアの挙動を追跡しますが、Unhookされちゃうと挙動を追跡することができません。EDRのUnhook手法もいくらでもでてくるし、いくつかのマルウェアには起動時Unhookする実装もあったりするので、実際にいろんなEDRで試してみたいところ。
0
18
93
SVGファイル(ベクタ形式の画像)はXMLベースのテキストファイルになってますが、XMLの中にスクリプトを埋め込むと画像を開いた際にスクリプトが実行されます。ここ最近SVGをメールに添付してマルウェアを送り込んだり、不正サイトへ誘導するようなケースも目立ってきてます。
1
38
91
早速HTML Smugglingの検体を発見。メールに添付されるHTMLの中にパスワードZIP本体が難読化されて埋め込まれており、HTMLを開くとZIPをDropしてユーザに展開・実行させる流れ。ZIPに格納されたJSを実行すると外部からPNGファイルをダウンロードし、EXEとして実行します。
1
22
88
AnonymousVPNの調査にはこのサイトが面白そう。IPからどのVPNサービスかの判定、このVPNを使ってるデバイスの情報まででてくるみたい。どうやって情報集めてるのか・・
1
21
82
Googleの新スパム対策ポリシーだと、ドメイン毎に受信したメールのスパム率を0.3%以下にしないといけないという条件があるんですよね。攻撃者が悪意をもって企業ドメインでスパム送りまくると、企業はメール送ってるつもりはなくてもGoogle環境にメール届かなくなるってのは結構インパクトありそう。
2024年2月からGoogle(Gmail, Workspace)にメール送信する環境は、SPFまたはDKIM必須。1日5,000通以上のメール送信する環境の場合はDMARCも必要(ポリシーはnoneでいいけど、アライメントまで正しく設定が必要)になる様子。
0
90
159
1
28
84
少し前にDMARCの話をしてましたが、ここに来て国内でも一気にDMARC対応が進みそうですね。
ちなみに、とりあえず設定だけ入れておこうとDMARCレポート送信なしでnoneの設定だけ入れてしまうと監視されていないドメインとして攻撃者に目をつけられてしまうのでご注意を!
1
14
80
警察庁から公開されたランサムの侵入経路はやはりメール、漏洩した認証情報を悪用したRDPへの侵入、そしてVPNになってますが、VPNの脆弱性経由はこの中でもごく一部のはず。「VPNの脆弱性」が目立ちすぎて対策もミスリードされてる可能性がありそうなのは少し心配。
0
19
76
国内の某サイトにコードが埋め込まれてます。大体狙われるのはWordpressですが、大手企業のサイトだったりするとレピュテーションでも引っかからないのでリスクは高いですね。読み込まれる外部スクリプトはこちら。
1
18
78
ランサムの侵入経路は主要な手口から収束して手口が分散してる状況にあります。公開されている情報だとVPNのゼロデイ経由が目立ちますが、実際は不正なメールや公開RDP経由もまだまだ多い状態。インシデント起きても侵入経路を特定できていないケースが多い可能性もありそう
0
21
71
M365だとSMTP AUTHも利用可能で、攻撃者はDarkwebでシェアされている認証情報のリストを使って有効なID/PASSを調査します。その時、M365側のログにはUser-Agent:BAV2ROPCのログが残るので、このログが残ってる時は調査されてる可能性大です。
2
18
70
日本だと積極的にマルウェアやフィッシング等の情報交換がされてますが、残念ながらそれらの情報を自動的にセキュリティ製品に展開してブロックするまでは成熟できていません。なの���、サイト解析とカテゴライズ、展開までの自動化を目的にURL解析サービスを作ってみました。
2
24
70
攻撃者の集まるコミュニティを見ると、やはりマクロ無効化に対する対応策はよくトピックに上がってきている気がします。この記事も興味深くて、ZIPに格納するファイルをRead OnlyにするとZIP展開時にMOTWのFlagが継承されないとのこと。
0
14
68
RansomedvcのSony侵入は嘘だって別の攻撃者による投稿がでてきました。実は別の攻撃者がSony環境から情報を盗んで共有したものを自分達の成果にしようとしてるだけとのこと。信じるか信じないかはあなた次第!
SonyとDocomoがランサムの被害にあってるよう。ここ最近日本での被害が多いですね。Docomoは約1億5千万円の請求、Sonyは支払ってくれないと読んで盗んだデータを販売することにしたようです。
0
47
113
0
34
64
ドメイン期限切れ後に攻撃者が同ドメインを取得して不正なスクリプト設置してるいつものやつ。Cookie情報を不正に盗まれてしまうのでご注意を。
ads-platform(.)jp
2
18
62
SOCやCSIRTの運用は少しづつ効率化/自動化されて人材不足問題は解消されるだろうと考えてましたが、GPT4がSIEMからのログ調査、レポーティングまでやってくれるとなるとかなりインパクト大きいですね。まだ精度は気になるところですが、時間の経過で洗練されてくるでしょうね
1
19
63
RedTeam向けのQRコードフィッシングツールが実際の攻撃にも悪用されている例。ばら撒かれているQRコードフィッシングのメールテンプレートが明らかに同じなんですよね。
0
10
59
以前SIEM運用してた際は、refererのついてないWeb通信を抽出してレビューするとか、User-Agentのwhitelist作って、いつもと異なるUser-Agentの通信は調査するとかやってました。すごく手間だけど。
1
14
59
こういう攻撃者は割と10代の若者だったりするケースも多いけど、デスノートの画像ってことは年齢的にかなり上なのか・・・それともNetflixでデスノートが公開されたからなのか・・
2
12
57
国内でも改ざんされて不正なスクリプトが埋め込まれたサイト増えてますが、Secure Proxyだとほとんど検知しませんね。こんな感じで、既存スクリプトの先頭や末尾にさらっと不正なコードが埋め込まれてます。
1
12
53
ZIP Bombをどう処理するのか各社Sandbox製品の仕様を調べてみたい気もしますが、10MBのZIPが展開すると281TBになる場合、Sandbox環境が死んじゃったりしないのかな・・
1
22
52
NZ CERTのこの画像はここ最近のAttack vectorが分かりやすく示されてます。個々のポイントに対して適切な対応策が実装されてるか確認する上での参考にしてみるのは如何でしょう?
0
14
52
確認した不正なマクロ付きのOneNoteは、外から拡張子がpngになってるdllを落としてきて実行してました。executeしてたりするマクロ部分は難読化されてるので、やはりSandbox必要ですね(それ以前に.oneの添付ブロックでも良さそうですが)
1
12
48
多要素認証を回避したフィッシングに利用されてるEvilginxにProがリリースされ、headless browserを検知する機能があるよう。SandboxやURL解析サービス等のほとんどがHeadless browser使ってるので、検知精度が高いと解析を回避されてリスクになりそう。
Evilginx Proの検知回避モジュールEvilpuppet
1
8
43
Emotetの.oneに格納されたスクリプトは多段的に難読化されてますね。.oneのVBS実行で別のスクリプトファイルを生成、これを実行すると難読化されたスクリプトを変換して1つの変数に格納、最後にこれを実行で処理が走ります。
1
13
41
Jupyter Notebooksでログ分析。これは面白そう。
0
8
38
Intel会社がVirustotalからランサムグループがHOYA社宛てに残した"Contact Us.txt"を発見したとのこと。"Contact Us.txt"には脅迫用のURLとログインの為のパスワードが含まれるはずなので、このIntel会社は実際にログインしてスクショ取ったんですね。やりすぎな気もしますが
0
14
37
中国製のリバースプロキシサーバで"Kangle"と呼ばれるツールがあって、Shodanで検索しても世界中に13万ホスト存在してます。「高防VPS」等で検索すると、少し怪しげなVPSサービスが沢山ヒットしますが、このあたりでKangleが使われてます。
1
10
37
RSAでもAIが一番のホットトピックでしたが、アンダーグラウンドでももちろんAIはホットです。これも、BlackhatなGPT。簡単な質問で実行中のプロセスにコードをInjectする方法を教えてくれました。セキュリティ分野のAI戦争はどんどん加速するでしょうね。
0
9
35
ログ分析はもっとAIによる分析に最適化する必要があると感じますが、こんなプロジェクトを発見しました。ログ収集からパーシング、分析までAIに特化した分析環境
0
4
35
Intel関連の情報ポストの為に今後もずっと匿名でと考えてましたが、せっかくなので宣伝させて下さい。恥ずかしながらScanNetさんにインタビュー記事を書いて頂きました。
0
9
34
クリティカルなCVEが公開されると毎度PoCに見せかけたマルウェアがGitHubに上がってきますね。RCEだと思ってたらLocalでCommand Executionされるやつ。
0
10
33
日本だとゼロデイ脆弱性を発見するスキルがあってもなかなか評価対象にはならず、業務時間中の利益に繋がらない研究も対応は難しい。分析に関してオープンなコミュニティで会話すると捕まるリスクもあるのでなかなか活発な動きは難しそう。
1
8
34
EDR製品が何やってるのかって話で興味深い。結局APIをHookして挙動を追いかけてるだけで、CybereasonもUserlandのHookで挙動監視してるんだと思う。Trendのプロセススキャンも、全プロセスにスキャンコードをInjectして中からスキャンしてました。
1
10
34
lnkのEmotetダウンローダは、埋め込まれてるコードの中ではlnkファイル名"Password2.doc.lnk"固定なのに、送られてくるファイル名が異なるので、まともに動きませんね。今週あたり修正版が出てくるかな。
1
7
34
ランサムはVPN経由が6割とありますが、VPN経由で侵入されるケースは脆弱性によって侵入されるケースと、事前にフィッシング等で盗まれた認証情報使って侵入されるケースがあるので偏った対策はリスクになっちゃいますね。
1
9
33
セキュリティエンジニアのキャリアって海外だとかなり多岐に渡るけど、日本だとそれ程幅広い選択肢はない気がします。なので、海外のエンジニアと話してるとのびのびと好きな技術だけを追い求めてる人が多くて羨ましく感じます。
1
3
31
スパムのトレーニングコース。防御にも攻撃にもトレーニングは重要ですね。コースの名前についてるDEDSECというのはWatch Dogsってハッキングゲームの主人公が所属してるグループの名前です。
0
5
30
コンピュータ名が"HAL9TH"、ユーザ名が"JohnDoe"の場合は終了の処理にするだけでDefenderのEmulationによる解析を回避。あまりにもメジャーで入手の容易な製品になるとすぐ解析されて回避策が出回ってしまうのがリスクですね。
0
6
30
Google Translateを悪用したフィッシングが増えてるように感じますが、やはりURL Reputationには引っかからないケースが多いですね。
hxxps://translate.google[.]com/translate?sl=auto&tl=ja&hl=ja&u=hxxps://soft-frost-cd4b.67wk7d0i.workers[.]dev/
2
4
29
ファイルやメモリ内の特徴をチェックして検知する仕組みを回避するマルウェアの為にEDRはAPIをHookして検知する仕組みで対応してるけど、最近はHookを解除(Unhook)するマルウェアも出てきてるので、いたちごっこはまだまだ続く・・
0
6
28
Emotetは年明け以降、メールにファイル添付する方式がなくなってURL経由に切り替わってますね。セキュリティ対策を回避しやすいんでしょうね。攻撃者によるABテスト(添付 or URL)の結果だと考えると興味深い。
1
6
28
Direct System CallsでEDRの検知を回避。テスト用に利用可能なEDRないのが悩ましい・・会社のEDR動いてる業務PCでテストしたら怒られるだろうな���
1
5
29
MGMの件はLinkedinで社員を特定し、社員になりすましてヘルプデスクへ電話することで10分で侵入できちゃったそうです。Oktaの管理者権限を乗っ取られたそうだけど、入口は一般ユーザでOktaに侵入したんでしょうね。どう権限昇格したんだろう。
0
15
29
今年に入って国内でのランサム被害がかなり多いですね。Googleで直近1カ月のコンテンツ検索するだけでもこのような状態。ゼロデイ経由なのか、不正メール経由なのか、設定漏れを狙われたのか、その辺りの詳細まで公開頂けると大変参考になるのですが。
0
11
29
MS社からのメールでMSドメインのURLが届いてると思ったら、フィッシングでした。[.]comのリンクがメールで届いて、customervoice[.]microsoft[.]com上のフィッシングコンテンツに誘導されます。
1
14
28
2023年の動向を整理する為にマルウェアカテゴリ毎の検知数のグラフを作ってましたが、2023年中ごろまでEmotetも活動してましたが以降はBotnet自体検知が止まって、後半はStealerやDownloaderなんかが激増、端末を乗っ取る攻撃から認証情報を盗み出すアプローチに移って来ているように感じます。
1
4
26
このフィッシングサイトはURLの末尾にメールアドレスをセットできるようになってて、メールアドレスのドメインに応じて自動的にロゴやメッセージを切り替える機能があります。各社の正規のログイン画面デザインまで収集して表示するフィッシングもそのうちでてきそう。
0
6
28
4月にMSがダウンロードしたドキュメント(MOTW flagのあるもの)のマクロ無効化を強制するそうですが、これZIPに格納された状態でダウンロードしたドキュメントは対象外になるかも?そうすると、対策としては限定的になるのかもしれませんね。パッチ適用後に要動作確認ですね。
1
6
27
ここ数ヶ月で脅威動向がガラッと変化したように感じます。マルウェア感染もフィッシングURL経由が増えてるし、不審でないメールに返信してやり取りする中でマルウェア送り込まれるようなケースも増えてる様子。
1
2
27
Oktaのサポートアカウント侵害事件に関連してCloudflareが本件に対してどう早期発見し、対応したかブログ公開されてます。影響がない事と対応力のアピールをした上で最後にインシデント対応チームの採用まで呼びかける、事件をフル活用する姿勢はすごいの一言。
0
8
26
感染してしまったとの報告が複数上がってきてます。情報を整理すると、入口(メール、Proxy)でのSandbox回避が今回のファイルサイズの理由のように思います。EPPで検知しないのは、サイズ関係なくいままでのEmotetといっしょですね・・なのでやはり一番有効なのは展開後のファイルサイズ制限(機能あれば
Emotetが活動を再開してますが、670k前後のZIPを添付していて、展開すると530MB前後のDOCファイルがでてきます。ファイルサイズでスキャンを回避するのが目的だとは思いますが、メール対策でZIP展開後のファイルサイズ制限をかけておけばしっかり止まるはずですね。
0
4
16
0
7
26
富士通のSystemwalkerを偽装したバックドア。
オリジナルとバイナリ比較して差分を解析してみたい・・
2caec93832c95047cf7016731e91850764d230556bbb66a9f1ff77c7811ab3e3
1
12
26
DMARCを設定するとHeader Fromを偽装したメールをブロックする事ができる上に、ブロックしたメールのレポートを受ける事が出来ます。でも、ブロックなし(none)でかつレポートもなしだと、偽装してもブロックされないので逆に攻撃者に悪用される可能性がでてきます。
1
7
25
いろいろと話を聞いてみると多要素認証は導入したものの、自社の認証ログを監視できてない会社はとても多い印象です。以前はSIEMに認証ログを取り込んでIPやUser-Agentなんかの傾向分析してましたが、これこそAIの得意とする分野。AIによる不正ログイン検知はもっと普及すべきですね。
1
5
25
うちのCEOの名前を使ってフィッシングメール送ってきた攻撃者にまた別の経路で一緒にビジネスやろうって誘ったらしっかり乗ってきた。本名もゲットしてビジネスの話が進んでます(笑 さて、どこまで聞き出したものか。
1
5
25
海外企業と一緒にアンチウイルスエンジンSDK使ってEDR製品の開発を進めてますが、海外は数人であっという間に動くとこまで作ってとにかくスピードが早い。日本だとまだ要件定義してる段階でも、海外はもう動くものができてる。。
3
2
24
CVE-2019-0708。過去にDark Webで0Dayの脆弱性として販売されてたらしいけど、500k USDなので5500万円程度。
0
19
22
フィッシングHTMLの添付された不正メール。HTMLはBase64で難読化されてるけど、攻撃者の自己主張が強すぎる。 Base64エンコードしてるだけなのに・・
0
1
24