- yousukezan
- 5279
- 0
- 4
- 1
msoffice-crypt github.com/herumi/msoffice #codeblue_jp
2015-10-29 10:15:31視覚化するツールで使ってる ja.d3js.node.ws #codeblue_jp
2015-10-29 10:17:05デモ: Excelファイルのパスワード暗号化 ツールによる復号 ファイルの編集 > 30 文字程度の文字のパスワード 編集前のファイルとパスワードを使って、長いパスワードを付けたファイルを復号できる #codeblue_jp
2015-10-29 10:18:40Imphashの話。色々な攻撃をグループ化できる。でも、同じパッカーを使ってると違うマルウェアファミリーを同じと見なすFPも発生。 pic.twitter.com/Mq4flGhPcH
2015-10-29 10:20:00実現できる状況 Excel 2012 と 2013 には、ファイルを編集して、別のパスワードを付けても秘密鍵を変更しない不具合があった。 このため、弱いパスワードを付けたファイルの秘密鍵を取得できれば、複雑なパスワードを復号することができてしまう。 #codeblue_jp
2015-10-29 10:20:45SSDEEPもマルウェアの分類用途に利用可能。同じ攻撃者の異なるキャンペーンについてクラスター化できる。 pic.twitter.com/C4kS4RbbiJ
2015-10-29 10:21:58攻撃シナリオ: ・給与明細の配布 ・パソコン紛失時に秘密鍵を収集される #codeblue_jp
2015-10-29 10:22:06sdhash、他のウイルス対策ベンダーでもラベルが異なるバイナリを同一と判定できた。 pic.twitter.com/p3sekiNvbV
2015-10-29 10:24:41MSOLE2 の解析で重要なEncryption Package - Standard Format (SHA1 のみ ~ 2007) - Agile Format(暗号化フォーマットを選択できる ~ 2010) #codeblue_jp
2015-10-29 10:25:22SolarView shodan.io/search?query=s… Special @codeblue_jp #scadasos dork by @atimorin
2015-10-29 10:25:47Excelのバグによるパスワード入力なしによる暗号化ファイル解読手法の紹介中 2015/10/13のWindows Updateで改修済み(MS15-110)#codeblue_jp
2015-10-29 10:27:13たぶん、Fireeyeが提供してるというたレポートはこれかな? Supply Chain Analysis: From Quartermaster to Sunshop fireeye.com/content/dam/fi… #codeblue_jp
2015-10-29 10:28:24Q.APT以外にも適用可能か? A.試していないが適用可能と思う。マルウェアファミリーで相関系を作れると思う。 #codeblue_jp
2015-10-29 10:29:31[MS-OFFCRYPTO]: Office Document Cryptography Structure #codeblue_jp この仕様書を光成さんと一緒に2年前に読んでいておかしいなと思ってバックドアを作ってみた話 msdn.microsoft.com/en-us/library/…
2015-10-29 10:29:34Encryption Package の役割 ・パスワードの正当性確認 ・データの正当性確認 データの正当性確認時に、パスワード(秘密鍵)に依存していない。 秘密鍵生成を制御できればバックドアを作れる。 #codeblue_jp
2015-10-29 10:29:35Q.静的ではないマルウェアにも適用できるか?難読化されたものは? A.シェルコード部には適用できる。新しい難読化には対応できない。 #codeblue_jp
2015-10-29 10:31:09PRG en.wikipedia.org/wiki/Pseudoran… CSPRG ja.wikipedia.org/wiki/%E6%9A%97… メルセンヌツイスターは、CSRPG ではないので、暗号用途には使えない。 rdrand などの命令を使う。 #codeblue_jp
2015-10-29 10:32:41