-
enjoy_enjo_
- 62375
- 171
- 240
- 120
-
- いいね!120
「マジモンの大戦争してたわ」ランサムウェア攻撃に対してサーバーのケーブルを物理的に抜く...ニコニコへのサイバー攻撃..
ニコニコのサービス停止の原因や復旧についての詳細が発表されました。
原因はランサムウェアを含む大規模なサイバー攻撃とのことです。
176769 pv
401
281 users
104
ところてん
@tokoroten
なんでLANケーブルを引っこ抜くだけじゃなくて、電源ケーブルも引っこ抜くかというと、 マルウェアを制御するためのコントロールサーバとの通信が一定期間できなくなったら、自身とその痕跡を消去する、みたいなコードになっていることがあって、LANを抜いただけだと証拠隠滅される可能性がある
2024-06-14 17:56:40
ところてん
@tokoroten
基本はメモリフォレンジックのために、電源は入れたままのほうが良いです メモリ上に残っている攻撃の痕跡を残す必要があります ただ、電源を入れたままだと証拠隠滅するやつもいるので、電源を切ったほうがいいケースもある、という話です
2024-06-14 20:09:23
たかひー
@mk2takasan
これシャットダウン時にも証拠隠滅される恐れがあるからケーブルぶち抜きしたんやろなあ……無念すぎる x.com/tokoroten/stat…
2024-06-14 19:18:05
伊藤 祐策(パソコンの大先生)
@ito_yusaku
これをもしshutdownコマンドでやった場合、不正プロセスはそれを感知出来るので証拠隠滅処理を走らせることができちゃうんだよね。だから電源引っこ抜きは正解。しかしよくそんな判断できたな。 x.com/tokoroten/stat…
2024-06-15 08:20:34
B.milligan(ビリガン) ⋈ C104 月曜日 V19a 宜しくですーm(_ _)m
@dumtefr
@tokoroten 電源コード引っこ抜くの、めちゃくちゃ勇気が必要だったろうなー。
2024-06-14 19:55:01
Madmax
@madmax99993
なんか本当奇妙な動きするみたいね。 ワザと存在しえない、めちゃくちゃなドメインにDNSクエリ出して答えが返ってきたら「自分はサンドボックスに閉じ込められた。」って判断して休眠状態に入るやつとか。 x.com/tokoroten/stat…
2024-06-14 20:54:22
ゲヌポ@8qb4シ𠂢
@greatgenprey
つまりマシンそのものを停止させなければならない それも強制停止で(通常停止だと隠滅される可能性がある) x.com/tokoroten/stat…
2024-06-14 18:48:54
Toshitaka Miura
@tdmiura
@tokoroten 仮想マシンが起動できるような裏側の管理ネットワークにまで入られていると、近辺のセグメントに物理サーバのライツアウトマネジメント(iLOとかiDRACとかBMCとか)があったりして物理の電源ONが遠隔でできたりするのもあるかな。 ライツアウトマネジメントを殺すには電源コードを抜くしかない。
2024-06-14 19:45:52
サンタナ
@santana08642
ちなみに「電源ケーブルを抜く」は文字通り引っこ抜きます。 shutdownコマンドを叩くことで証拠隠滅する奴がいるので。 引用:名古屋大学 情報基盤センターより pic.twitter.com/yR1PxXtQSZ x.com/tokoroten/stat…
2024-06-14 20:49:10
拡大
📕「マルウエアの教科書」著者 | 吉川孝志 | 増補改訂版🌟発売中
@MalwareBibleJP
シャットダウンされたPCをリモートから Wake-On-Lan(WOL)で強制起動させ暗号化する手口は昔から様々なランサムウェア(ThanosやLockbit等)に使われてきました。 今から5年前に書いたブログですが、Ryukを題材に詳細解説してますのでご参考に。 mbsd.jp/research/20191… ランサムウェアの系統図はこちらから💁 x.com/malwarebiblejp…
2024-06-14 20:14:49
拡大
拡大
拡大
かるら(,,☪️‸ Ծ,, )
@XEQSX
自身の痕跡を消去するプロセスプログラム。 今流行りのPythonかと思いきや UNIX系やbashだったりして 「トロイのおかわり木馬」みたいな挙動する x.com/tokoroten/stat…
2024-06-14 20:17:33
Hiroshi Matsumura
@hmatsumu
@tokoroten DOSの時代、ウィルスがdebugやsymdebの起動を監視していて、「何かおかしいな」と思って、調べようとすると痕跡を消してしまうという経験をしたことがあります。今の時代はハートビートで監視したりするんですね。
2024-06-14 18:22:33
閉門中
@kwy8791
頭悪くて理解できなかったけど、これ『スパイ大作戦』の、「なお、このテープは自動的に消滅する」と同じ話か。 x.com/tokoroten/stat…
2024-06-14 20:36:44
昼夜を問わず骨(E:胃薬)
@hone_tyuyawotow
よくある「このテープは証拠隠滅のために自動的に消滅する」と同じ挙動するんだな x.com/tokoroten/stat…
2024-06-15 08:28:56
Shirosan
@Shirosan001
攻殻機動隊の世界だな。(;^ω^) あ~、インターネット老人会会員なので最近の作品は知らない。 x.com/tokoroten/stat…
2024-06-14 19:56:23
たにし@🏖
@novigrad221
詳しくないのでこういうのを見ると攻殻!ウォチド!などと思ってしまう 実際に働いてる側からすると常識なんだろうけども… x.com/tokoroten/stat…
2024-06-14 20:23:48
wakadori
@wakadori_Mk2
ジョニーライデンの帰還でリミアが生き残ったサーバーを見て「電源入れちゃだめ!それを踏み台にしてまた攻撃されるかもしれないから!」的なセリフを言ってたのを思い出して、ガンダムの世界で語られるような事象が本当に現実世界の身近な動画サイトで起こってしまうとは……恐ろしい…… x.com/tokoroten/stat…
2024-06-14 19:51:41
イグゼ@きゃぱきゃぱバー
@ykt_zero_exe
はえー マルウェア側は一歩進んでるだね。 >LAN抜いただけだと証拠隠滅される可能性 勝手な想像だけど、メモリのダンプとって落としたほうが確実なのかね x.com/tokoroten/stat…
2024-06-15 09:50:19
おちゃ
@kuma06zawa
メモリ容量が大きいとメモリ保全にも時間がかかるから、それよりも感染拡大を防ぐ目的で電源落としたってことか x.com/tokoroten/stat…
2024-06-14 20:43:34
S (ツイートはスレッド全体をご確認ください)
@esumii
これいつもメモリ保存とどっちが優先か悩むけど(幸い実経験はありません)、仮想マシン内だけなら一時停止してスナップショットとればいいんだろうか x.com/tokoroten/stat…
2024-06-15 09:51:04