9月8日(土)に開催しました「仙台CTF2018 Day-1 セキュリティ技術勉強会」の資料を以下のとおり、公開いたします。 講義資料 マルウェア感染対応基礎編 ウイルス検知アラートとタイムライン解析から感染経緯を読み解く方法 (pdfファイル 約4MB) 別紙1 実習資料 タイムライン解析によるマルウェア感染原因の特定(pdfファイル 約900KB) 別紙2 演習資料 サイバー防御演習 説明資料(pdfファイル 約150KB) ・サイバー防御演習 シナリオ(pdfファイル 約70KB) ・サイバー防御演習 イベントシート(pdfファイル 約160KB) ・サイバー防御演習 対応記録様式(pdfファイル 約10KB)
米Software Engineering Institute(SEI)のCERT部門は、静的解析によってコードの脆弱性を検出するアプリケーション「SCALe」(Source Code Analysis Laborator)をオープンソースで公開しました。 SCALeは、複数の静的解析ツールをまとめて実行するためのフレームワークでできており、今回公開されたアプリケーションにはセキュリティに関するコーディング規約「SEI CERT Coding Standards」およびSQLインジェクション、クロスサイトスクリプティング、バッファオーバーフローなど多くのソフトウェアの脆弱性を体系的に一覧化した「CWE(Common Weakness Enumeration)」(共通脆弱性タイプ一覧)の2つをベースにしたツールが含まれています。 SEI CERT Coding Standardsは現在、C/
Not your computer? Use a private browsing window to sign in. Learn more about using Guest mode
How to start RE/malware analysis?
Many people approach me asking more or less the same questions: how to start RE, how to become a malware analyst, how did I start, what materials I can recommend, etc. So, in this section I will collect some hints and useful links for the beginners. //NOTE: this article is periodically updated with new materials The topic of reverse engineering (RE) is very broad. You can reverse engineer all sort
状況を把握していたわけではありませんでしたが、2010 年 7 月 5 日に、あるプログラマーから送られてきたメールに添付され、ルートキットとして認識されたドライバー ファイル (Mrxnet.sys) を受け取ったときに初めて Stuxnet の存在を知りました。ルートキットの機能を実装したドライバーは珍しくありませんが、このドライバーのバージョン情報には、これがマイクロソフト製のドライバーであると表示され、合法的なコンピューター コンポーネントメーカーであるリアルテック セミコンダクターが発行した有効なデジタル署名がなされていたという点が珍しく、私の目に留まりました (Malware Protection Center ポータルを使用するのが、マイクロソフトにマルウェアを報告する公式な方法ですが、このプログラマーが、私にルートキット ドライバーを委ねてくれたことに感謝します)。 私は、
株式会社フォーカスシステムズ サイバーフォレンジックセンター 〒190-0012 東京都立川市曙町1-26-13 TEL:050-3503-3418 FAX:03-6682-4802
本書は、マルウェアが絡んだ事情を体系的にまとめている。攻撃者、防衛者、解析者の各視点から"マルウェア"のチョメチョメを理解することを目標としている。
GitLab 10.4では、デプロイ前のDockerイメージに対して静的セキュリティ解析を行うツールや、動的にセキュリティ解析を行うツール、そしてWebブラウザから利用できる統合開発ツールなどが搭載された。 主な新機能として、アプリケーションをDockerコンテナとしてパッケージしたあとで静的セキュリティ解析を行う「Static Application Security Testing (SAST) for Docker Containers」、Webアプリケーションに対して動的なセキュリティテストが可能な「Dynamic Application Security Testing (DAST)」、そしてWebブラウザでコードを編集できるWebIDE機能などが搭載されました。 clairを用いてコンテナの静的解析 GitLabには、コードの静的解析を行う「Code Quality」機能がすで
メモリフォレンジックは、揮発性のデータを解析する技術です。インシデントレスポンスにおいては、「どこと通信していたか」「どんなプログラムやスレッドが動いていたか」「どのようなデータがメモリ上にマッピングされていたか」などの情報がしばしば重要になってきます。メモリフォレンジックをうまく活用することで、これらの情報を抽出することが可能になります。今回は、メモリフォレンジックのテクニックを用いてマルウェアの感染痕跡を調べる方法を紹介します。 数年前まで、揮発性のデータを取得する方法は、対象のマシン上でプロセス情報や通信情報などを出力するコマンド(たとえば、netstat)を実行するやり方が主流でした。しかしこのやり方では、以下の二種類の情報を取得することができません。 API のフックやリンクリストの改ざんなどにより、意図的に隠蔽されている情報終了したプロセスなど、既に開放されたメモリ領域に存在す
本投稿記事は、当社の内定者である黒林檎氏にIoTの解析について調査してもらいました。IoTのセキュリティはまだまだ課題が山積みですが、解析入門ということで調査結果を公開いたします。 はじめに 日本でもIoTのハッキングが注目視されてきました。 IoTが"Internet of Things"の略称であり"モノのインターネット"というのは既知かと思います。 様々な"もの"がインターネットに接続され、情報交換することにより相互に制御する仕組みであり、スマートウォッチなどが想像されがちですがそれはIoTにおけるほんの一部であり、実際はインターネットなどにより通信する仕組みを備えた家電製品などもIoTの一種になります。 本稿では、今後重要性を増すIoT機器のセキュリティ診断・解析について具体的な解析手法にも触れながら入門編を寄稿いたします。 IoTのハッキング(診断)とは? 大まかにIoTの診断を
こんにちは。 株式会社サイバーディフェンス研究所 技術部 手島と申します。 日頃は、Webサイトや組込機器に対して セキュリティ診断やペネトレーションテストを担当しています。 弊社の課題として かねてから、社外のお客様や取引先より 組込機器のセキュリティ診断について以下のような疑問を頂戴していました。 そもそも組込機器のセキュリティ診断って何? どんなことするの? どんなことが分かるの? そこで、今回は診断そのものをイメージしやすくすることを目的として 実際の診断に近い環境を用意し、用語やツールと共に紹介します。 この記事は主にエンジニアを対象にしているため、 用語やツールの解説はかなり省いています。 ■そもそも組込機器の診断って何? みなさんの身の回りには、様々な組込機器が存在します。 身近な例を挙げると・・・ 道路の信号 鉄道の制御システム エアコンの制御機 無線ルータ 警備システム
本書では,マルウェア感染攻撃を中心に,攻撃を観測して解析する技術を演習を交えて解説した。本質的な検討方法や実践的な解析技術を学べるような構成とし,サイバー攻撃に対応するための実践力を身につけることができる。 インターネットは,すでに生活に欠かせない水道や電気のようなサービスインフラになっている。パソコンやスマートフォンなどの端末を使えば,Webやメール等のさまざまなサービスを,Webサーバやメールサーバ等を経由して利用できる。しかし,このような利便性を重視した状況は,社会的に重要なサービスや個人情報がインターネット上で活用される文化を作り出した。この結果,インターネットに存在してきたサイバー攻撃の目的が,愉快犯やサービス妨害から,金銭目的や軍事目的へと変化してきた。 サイバー攻撃には,情報を収集する攻撃やサービスの提供を妨害する攻撃などが存在するが,多くの攻撃にはマルウェアが利用される。マ
5月某日、ある検体を入手しました。この時点ではマルウェアなのかどうかは不明でしたが、様々なツール(VirusTotal、サンドボックス、IDA Proなど)の解析の結果は壊れているファイルとなっており、正しい解析結果が得られませんでした。そのため、手動で解析することになりました。 その解析の流れと結果を書きます。 ■バイナリエディタで目grep まずはファイルタイプの調査から開始しました。 図1、バイナリエディタ 見ての通り、PEファイルです。ただし、後半部分に白い線がたくさん入っていたり(NULLバイトが連なっている)、中盤が赤い(ASCIIコードが多い)割には意味のありそうな文字列は見当たらなかったりと難読化、暗号化が施されているPEファイルではないかと推測しました。 ちなみにVirusTotalにアップロードした結果、検出率は5/52と低めで、ここでもファイルが壊れている旨の検知結果
トレンドマイクロは、2015年9月、日本のユーザを対象にした「malvertisement(不正広告)」攻撃を確認しました。攻撃者は、不正広告と脆弱性攻撃のためのエクスプロイトキットを併用し、広告が表示された正規サイトを訪問したユーザに効果的に攻撃を実行しました。 トレンドマイクロの観測では、不正広告はおよそ 3,000 の正規サイトで表示され、それらのサイトへ約 50万人のユーザが訪問しました。ユーザは脆弱性攻撃ツールである「Angler Exploit Kit(Angler EK)」を利用した攻撃サイトへ誘導されました。確認された不正広告はすべて日本語の広告であり、この攻撃は特に日本のユーザを狙って実行されたものと言えます。これらの不正広告が正規の広告と絶対に区別できないように、攻撃者は正規の広告で使用されたバナーを不正広告の画像に利用しました。 攻撃者は、広告ネットワークやコードなど
「コードから読み解くマルウエアの真実」 5日間に渡るセキュリティ・キャンプの中で、私が担当したのは6時間分の講義でした。マルウエア分析をするためにはOSやネットワークといった多岐にわたる知識が必要となりますし、分析手法に関しては環境構築方法や様々なツールの使い方を知る必要があります。しかしながら、短い時間の講義にあれこれを詰め込むのは難しいため、セキュリティ・キャンプでは人気の高い「静的分析手法(リバースエンジニアリング)」を主に取り上げることにしました。静的分析手法はマルウエアに含まれるコードを読む手法であり、他の分析手法よりも難しく、分析に長い時間を要しますが、より詳細にマルウエアの挙動を明らかにすることができます。 講義は次の2部構成で行いました。 前半2時間 マルウエアの現状と分析手法についての基礎知識を説明してから、静的分析の基礎(アセンブリ言語や効率的なコードの読み方など)をハ
本投稿のねらい 比較的容易と言われている Android アプリを解析してみること 今回は、難読化ツールである ProGuard を使用していない apk を対象としている ProGuard 適用時との比較は少し記載 対象とするソースコード https://github.com/kasaharu/AnalysisTestingApplication ビルドをして apk を作成:AnalysisTestingApplication.apk 拡張子 apk は zip に変換して解凍可能 apk ファイルは zip 形式であるため、拡張子をリネームするだけで、解凍が可能になる。 AnalysisTestingApplication.apk → AnalysisTestingApplication.zip zip ファイルを解凍したディレクトリ構成は以下のようになっている '. ├── And
3rdに引っ越しました。 2010/12/31 以前&2023/1/1 以降の記事を開くと5秒後にリダイレクトされます。 普段の日記は あっち[http://thyrving.livedoor.biz/] こちらには技術関係のちょっとマニアックな記事やニュースを載せます。 Windows2000ネタ中心に毎日更新。 知り合いから Twitter のDMで、Avastがなんかサイトブロックしたって表示したんだけど大丈夫だろうか? って相談がきたのでちょっとTeamViewer 10 を Windows 2000で起動してみてあげることにした。 まず、ログ探しから。 Avast! 2014はなんていうか、ログを見る機能がネイティブでないような…。 どこにあるんだよ…って感じだった(使ってる本人も見つけられなかった) C:\ProgramData\AVAST Software\Avast\rep
お好きなFacebookページを分析・モニター LikeAlyzerはFacebookの効果測定をアシストします。 Facebookの効果的な運用を実現するため、LikeAlyzerが様々な観点からFacebookページを評価します。 LikeAlyzerはFacebookの無料分析ツールです。分析結果をもとに、あなたのページが抱える課題を指摘し、改善策を提供します。 Facebookを使いこなそう! - まずは気になるFacebookページの分析から 精度の高い分析 Facebookの運用を最適化するためのツール:LikeAlyzer。ページのフォロワーとのコミュニケーションに関してわかりやすいアドバイスをします。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
