JSAC2018

1
前へ 1 2 ・・ 8 次へ
ぴんく @PINKSAWTOOTH

ラノベタイトルみたいなタイトル。

2018-01-25 10:08:24
keijitakeda @keijitakeda

#JSAC2018 内容が素晴らしいんだけど人口密度が高くてバイオウイルスがアウトブレイクしそうだ。。。

2018-01-25 10:09:16
伊藤 彰嗣 / ITO Akitsugu @springmoon6

「ChChes」を操る標的型サイバー攻撃キャンペーン「ChessMaster」による諜報活動の手口 blog.trendmicro.co.jp/archives/15551

2018-01-25 10:10:01
伊藤 彰嗣 / ITO Akitsugu @springmoon6

オープンソースのRATを改良したマルウエアRedLeaves(2017-04-03) jpcert.or.jp/magazine/acrep… 元になったとされているオープンソースのプロジェクトはクローズされている trochilus github.com/5loyd/trochilus #JSAC2018

2018-01-25 10:12:55
伊藤 彰嗣 / ITO Akitsugu @springmoon6

・Himawari の動作 実行ファイルは正規の実行ファイルが使われる。dllの名前を本体と同一にして preload させた上で、本体となるdllをダウンロードし IE にinjectする。暗号化しているのは、設定ファイルと通信データ。異常なDES(ECBモード、DESが使われているように見える(FindCrypt)) #JSAC2018

2018-01-25 10:18:25
さっさん @_sasn

jp●ertが煽られてる…

2018-01-25 10:22:18
ykame @YuhoKameda

RedLeaves -> Himawari -> Lavenderと進化版が2018年1月に!Lavenderは、JPCERTを意識? #JSAC2018

2018-01-25 10:23:05
伊藤 彰嗣 / ITO Akitsugu @springmoon6

・マルウェアにおける暗号処理の実装不備 Emdivi にも複数の版で実装不備があった。Himawari にも不自然な実装がある。 DES 暗号鍵をリセット(ループの中で Subkey のデータが初期化されているため、先頭以外は0詰めでよくなっている) #JSAC2018

2018-01-25 10:23:47
伊藤 彰嗣 / ITO Akitsugu @springmoon6

・Himawari の実装 Header は AES、payload は zlib+XOR+異常なDES。独自プロトコルをサポートしている(Header に余分な値がつく) 2018 年 1 月に出て来た「Lavender」では実装内容が一部変わっている。 攻撃で使われた事例 d.hatena.ne.jp/Kango/20180119… #JSAC2018

2018-01-25 10:26:48
ykame @YuhoKameda

Himawariに感染した事例を聞いてないので、みなさんDecryptしてください! #JSAC2018

2018-01-25 10:29:03
ykame @YuhoKameda

中津留さん作のFindCrypt github.com/you0708/ida/tr… #JSAC2018

2018-01-25 10:29:56
Zach Mathis (田中ザック) IT Security @yamatosecurity

マルウェア作者(Cさん?)はJPCert大好きって・・ pic.twitter.com/7f9KxnzosW

2018-01-25 10:31:03
拡大
ykame @YuhoKameda

中「早く終わっちゃったんで、質問とか入れていいですかね?」 司会「えっ?」 #JSAC2018

2018-01-25 10:33:47
伊藤 彰嗣 / ITO Akitsugu @springmoon6

Q. 検体の種類は提示されたものですべてか? A. VT で検出できるインストーラーは 4 種。ドキュメント内に含まれている物は多数あるのでまとめていない。 #JSAC2018

2018-01-25 10:35:37
Shoko ARAKI @shokoaraki

「暗号方式もコロコロ変わるし、POSTだと監視難しいので、エンドポイントで対策するしかない、でもコストがかかる。みなさんどうなんですかね。」そうですよね…。 #JSAC2018

2018-01-25 10:35:51
ぴんく @PINKSAWTOOTH

あとは解析者コミュニティで ↑入れてください

2018-01-25 10:36:48
ぴんく @PINKSAWTOOTH

VT前提だったりして趣味でやることではないんだよな~

2018-01-25 10:37:13
伊藤 彰嗣 / ITO Akitsugu @springmoon6

Q.普段検体はどう探しているのですか? A.VT だったら「お」とか「の」をキーワードに検索したり。解析者同士の情報交換も最近は増えてきた。 Q.解析の効率化で工夫していることは? A.解析用のスクリプトを作る/コードを見る量が増えるとプロトコルの識別も早くなる #JSAC2018

2018-01-25 10:38:32
伊藤 彰嗣 / ITO Akitsugu @springmoon6

削除済みVSSスナップショットの復元 株式会社インターネットイニシアティブ 小林 稔 様 #JSAC2018

2018-01-25 10:39:44
れおじょじょ @meganepikumin

「見た瞬間に[ここに任意の暗号方式]」 こちらテンプレとなります

2018-01-25 10:40:11
ykame @YuhoKameda

時間に比べて資料が多い(P.57)ので、配布資料みてください #JSAC2018

2018-01-25 10:41:55
伊藤 彰嗣 / ITO Akitsugu @springmoon6

・VSS スナップショットのデータ構造 Volume Header:ヘッダ Catalog:メタデータ Store:バックアップデータ Volume Header からオフセットを辿ることでスナップショットにアクセスできる。 #JSAC2018

2018-01-25 10:46:31
伊藤 彰嗣 / ITO Akitsugu @springmoon6

・VSS スナップショットのデータ スナップショットを追加するごとに Store が追加される。データは NTFS と Stroe のそれぞれに保管される。削除時は store のヘッダ情報は保管されているが、store 内のヘッダは変更される。数分後Catalog と Store の MFT エントリが消える。 #JSAC2018

2018-01-25 10:51:06
Zach Mathis (田中ザック) IT Security @yamatosecurity

マルウェアはどんどん自分自身と通信を独自暗号で暗号化するので、本格的なマルウェアアナリストになりたい方はREの技術だけではなく、しっかり暗号を理解して解読技術も身につけないといけない。 #JSAC2018 pic.twitter.com/qOSFvKO7ju

2018-01-25 10:52:16
拡大
ykame @YuhoKameda

ShadowExplorer, ShadowKitなどのフリーソフトウェア、libvshadowのOSSもスナップショットのパーサとして使える shadowexplorer.com easymetadata.com/shadowkit/ github.com/libyal/libvsha… #JSAC2018

2018-01-25 10:53:01
前へ 1 2 ・・ 8 次へ

いま話題のタグ

ダンジョン飯129 名探偵コナン496 承認要求4 お金674 宇宙食6 岸田文雄198 声優4008 すがやみつる33 小岩井ことり16 対魔忍38 平安時代180 著作権2124 クリエイター480 水曜日のダウンタウン123 ゲゲゲの鬼太郎197