今日はファイア・アイ社の Security Tech Lounge に参加してきました。 ミニCTF では途中から隠し問題の Q4 の面倒を見ていまして、 家に帰ってきてから解いたので Writeup を。

はじめに 詳細 2018.11.12 追記 まとめ ワークフロー 攻撃のポイント 防御のポイント はじめに お久しぶりです。しばらく Hack the Box に集中していて VulnHub の VM に挑戦出来ていませんでした。Hack the Box では Foram 中心に情報収集するのですが、手…

はじめに 詳細 まとめ ワークフロー 攻撃のポイント 防御のポイント はじめに 今回挑戦したのは Bulldog:1 です。boot2root の VM ですが、所々に誘導的な設定やプログラムがあるのでリアリティは低めでした。これも ova ファイルで提供されています。 Bulld…

はじめに 詳細 まとめ ワークフロー 攻撃のポイント 防御のポイント はじめに 今回選んだのは DerpNStink: 1。難易度は前回同様 Beginner ですが、今回は boot2root かつフラグを 4 つ獲得するのが目的です。OVA ファイルで提供されているのでインポートが楽…

はじめに 詳細 まとめ ワークフロー 攻撃のポイント 防御のポイント はじめに 今回取り組んだのは Toppo: 1 。前回同様、難易度が Beginner のものから選びました。この VM に対して Kali から侵入してフラグを探します。配布されているのは vmdk ファイルの…

はじめに 詳細 まとめ ワークフロー 攻撃のポイント 防御するなら はじめに 最近は Vulnhub で追加された VM を利用してペンテストの練習を行っています。週末に取り組んだのは以下の VM です。この VM に対して外部のマシン (Kali) からスキャンや攻撃を行…

サマリ メモリ節約のためゲストはなるべく立ち上げたくない。 VirtualBox の機能としての DHCP サーバを使う。 vboxmanager dhcpserver add を使う。 はじめに 最近、vulunhub で取ってきた VM を使ってペンテストの練習をしようかな、と思い立ったりしてい…

サマリ スマホの通信量が鰻登り ローカルプロキシになるアプリを導入 通信量が大幅に減った いらない広告とか遮断してくれてる きっかけ 最近、スマホの通信量が鰻登りで困っています。とくに帰宅時（午後）の移動時間の通信がなぜか妙に多くなります。そう…

VirusTotal Intelligence について掘り下げた内容の本を技術書典8に向けて執筆しました。現在 BOOTH にて販売しておりますので、ぜひご確認ください。 malrina.booth.pm ※ 少し詳しく書いた記事を以下に公開しています（↑の本はさらに加筆した内容となってい…

Panda Banker 解析 (1) - 解析メモ ... 軽く動作確認 Panda Banker 解析 (2) - 解析メモ ... UnhandledExceptionFilter による耐解析機能 Panda Banker 解析 (3) - 解析メモ ... アンパック Panda Banker 解析 (4) - 解析メモ ... Extended Attribute (EA) …

Panda Banker 解析 (1) - 解析メモ Panda Banker 解析 (2) - 解析メモ Panda Banker 解析 (3) - 解析メモ Panda Banker 解析 (4) - 解析メモ EA付きのペイロードが svchost.exe にコードインジェクションをしている疑惑を解明していく。 IDA Pro でインポー…

Panda Banker 解析 (1) - 解析メモ Panda Banker 解析 (2) - 解析メモ Panda Banker 解析 (3) - 解析メモ 監視しているプロセスが分かったので、unpacked 検体を ProcessMonitor で確認する。 前回は Majuro.exe が実行されたところで止めていたが、少し泳が…

Panda Banker 解析 (1) - 解析メモ Panda Banker 解析 (2) - 解析メモ ollyDbg で AccessViolation 以降のデバッグも大丈夫そうなので、解析を続ける。 プロセスツリーを見ると、子プロセスを実行すると同時に自プロセスを Terminate している。 自プロセス→…

blog.minerva-labs.com 今日はこの検体。 検体自体は PowerShell のスクリプトで、定番の Base64 でエンコードされているスクリプトを実行するタイプ。 WMI64.ps1 Neutrino.ps1 それぞれデコードしてみたら意外と長くなった。 デコードはスクリプトの最後の …

昨日（Panda Banker 解析 (1) - 解析メモ）の続き。 Access Violation が出るところが気になる。 赤枠の部分はわざと Exception を起こしているように見える。 xor edx, edx で edx を 0 にしているのに mov ax, [edx] で 参照できなくなった edx を参照して…

www.arbornetworks.com ここで紹介されている検体の解析。 多分 Zeros は Zeus の誤記。 SHA256 : 8db8f6266f6ad9546b2b5386a835baa0cbf5ea5f699f2eb6285ddf401b76ccb7 環境：VirtualBox 5.2.8 ゲスト : Windows 7 x64 Pro