2020-01-01から1年間の記事一覧
今週1週間で見かけたマルウェアなどの解析記事(6件)。 New Android Spyware ActionSpy Revealed via Phishing Attacks from Earth Empusa Earth Empura (別名 POISON CARP, Evil Eye) の Android スパイウェア ActionSpy コピーしたニュースサイト (BeEF入…
Barcode Reader Apps on Google Play Found Using New Ad Fraud Technique バーコードりだーアプリに偽装した広告アプリ タイマを仕掛けて指定時間ごとに一瞬だけ広告を表示する (人の目には点滅にしか見えない。広告の閲覧数を稼ぐ目的。) 他のインストー…
今週1週間で見かけたマルウェアなどの解析記事(4件)。 Aggressive in-app advertising in Android 人気の Google Play アプリで使用されている SDK に疑わしい広告ライブラリが使用されていた 確認されたものは端末のロック解除時に広告を表示するもので、…
今週1週間で見かけたマルウェアなどの解析記事(11件)。 情報ソースを増やしたら大変になった。 Cyber And Ramen : Another Maldoc Analysis Article MSBuildを利用した興味深い悪意のあるドキュメントの分析 Wordバックアップファイル(拡張子 .wbk) Cybe…
今週1週間で見かけたマルウェアなどの解析記事(7件)。難読化ネタが多かった印象。 Astaroth — Maze of obfuscation and evasion reveals dark stealer 徹底した耐解析機能や検知回避手法を多用しているマルウェア Astaroth C2 に YouTube チャンネルを利用…
今週1週間で見かけたマルウェアなどの解析記事(5件)。 New Chinese Linux malware turning to Golang よくある Mirai や BillGate のような成熟したボットネットではなく、独自のカスタムインプラントを利用した Kaiji Golang を使用してゼロから構築され…
はじめに ベトナムのダナン市の公務員を標的とした APT グループ Pirate Panda による攻撃について、メールヘッダの分析から検体の解析までを Anomali が報告しています。本レポートでは使われている技術についての理解を深めるために、Anomali と同様の解析…
はじめに 解析した検体が dll をドロップし、DLL サイドローディングを使い特定の Export 関数から実行されていたので、これのデバッグ方法と IDA と x64dbg のアドレスの合わせ方をまとめました。 dll の表層解析 本記事では以下の DLL を読み込み、デバッ…
今週1週間で見かけたマルウェアなどの解析記事(6件)。 Anatomy of Formjacking Attacks Anatomy of Formjacking Attacks Web ページに JavaScript のコードを挿入し、ユーザの入力情報などを収集するフォームジャッキング ショッピングサイトの決済ページ…
今週1週間で見かけたマルウェアなどの解析記事(6件)。 標的型攻撃の新たな手口判明。診断ツール「PoshC2」を悪用する攻撃の流れを解説 ペネトレーションテストツール「PoshC2」を悪用した標的型攻撃 CVE-2019-9489およびDLLハイジャックの悪用 → CVE-2019…
今週1週間で見かけたマルウェアなどの解析記事(10件)。 今週は多かった。 Gamaredon APT Group Use Covid-19 Lure in Campaigns ウクライナの政府機関を標的とする APTグループ Gamaredon コロナのパンデミックをテーマとした、メールの添付ファイルをつか…
はじめに 世界中で感染を拡大している COVID-19 をテーマとし、情報窃盗用のマルウェアである HawkEye をインストールさせるためのフィッシングキャンペーンが観測されたことを Anomali が報告しています。本レポートではこのキャンペーンの感染チェーンを明…
今週1週間で見かけたマルウェアなどの解析記事(4件)。 Unkillable xHelper and a Trojan matryoshka Androidスマートフォンの xHelper トロイの木馬の解析 常駐化のテクニック(結論:感染端末はリカバリするべき) Android apk Traffic xHelper (https:/…
技術書典8は昨今の情勢により中止となってしまいました。本イベントで頒布予定だった VirusTotal を掘り下げた本「Vt:ゼロから始める偵察活動(インテリジェンス)」を BOOTH にて販売開始しました。 malrina.booth.pm 興味を持たれた皆様、ぜひ読んでみて…
これまでに VirusTotal の使い方について何件か記事を書いてきました。この内容に Hunting や API、調査事例など大幅に加筆した書籍「Vt:ゼロから始める偵察活動(インテリジェンス)」を技術書典8 (Day2) で販売します。2020年3月1日@池袋サンシャインシテ…
