-
- いいね!0
@expl01t
[ac] #fit2010 第1イベント会場なう.ガンブラーパネルが10時から開始.オーガナイザー曰く「◯◯先生がいらっしゃる,胃が痛いなぁ.」 ガンガレ超がんがれ!
2010-09-08 09:44:11
@expl01t
[ac] "malware" の初出は Adam, John A. Threats and countermeasures. IEEE spectrum, v. 29, Aug. 1992: 21-28. #fit2010 #gumblar
2010-09-08 10:07:20
@expl01t
[ac] ワームの歴史:自己増殖型オートマトン(1940代)→Creeper(1971)@DEC PDP-10→Reaperワクチン→Xerox PARC Worm(1980) #fit2010 #gumblar
2010-09-08 10:17:15
@expl01t
[ac] Elk Cloner(1982)世界初のウイルス.Fred Cohen "Computer Viruses - Theory and Experients"世界初のウイルスの学術論文. #fit2010 #gumblar
2010-09-08 10:20:02
@expl01t
[ac] 実験的試行の時代:Brain(1986).PC-Write:初のトロイの木馬.Morris Worm(1988):6000台のUNIXマシンに感染(インターネット上の10%)→有罪判決→現在はMITで職を得てる. #fit2010 #gumblar
2010-09-08 10:33:20
@expl01t
[ac] 悪用の時代:懐かしい名前のワームたくさん(省略)Welchiaとかあったなぁ→マルウエア/ボットネット→Conficker(P2P)→Gumblar #fit2010 #gumblar
2010-09-08 10:33:33
@expl01t
[ac] 一般的なガンブラーの流れ:事前に盗まれたFTPアカウント→正規サイト改ざん(リダイレクトするJavascriptが埋め込まれる)→閲覧しただけでマルウエアに感染→通信盗聴しID/PASSWD収集→自分自身削除して証拠隠滅 #fit2010 #gumblar
2010-09-08 10:41:26
@expl01t
[ac] Gumblar: 盗難されたID/Passwdはアングラで売買.情報流出から悪用までタイムラグあり. #fit2010 #gumblar
2010-09-08 10:42:41
@expl01t
[ac] Gumblar.X : 難読化されていないタグが挿入されている=逆に判別しにくい(2000以上の改ざんサイトがあったのでフィルタリングが困難) #fit2010 #gumblar
2010-09-08 10:45:02
@expl01t
[ac] *.ru:8080 : FTPクライアントやBrowserに保存されていたアカウントも盗む対象.Adobe製品の0-dayを利用.結果たくさんの大手企業でプレスががが #fit2010 #gumblar
2010-09-08 10:47:07
@expl01t
[ac] 改ざんされてもいいFTPサーバを準備して感染させてみた.感染してから攻撃されるまでのタイムラグ:Gumblar.X 13時間 ru:8080 4秒 #fit2010 #gumblar
2010-09-08 10:53:11
@expl01t
[ac] ru:8080 2010年3月ごろから GeoIPなどを利用して国情報を取得し日本は感染しないように仕込まれてる #fit2010 #gumblar
2010-09-08 10:54:56
@expl01t
[ac] このGumblarサイクルをいかに止めるか.強調による対策で決定打は無いよね.パネルディスカッションへ橋渡し. (5分トイレ休憩) #fit2010 #gumblar
2010-09-08 10:58:58
@expl01t
[ac] 解析側を意識した仕組み:URLアクセス制限(過去に一度アクセスしたIPアドレスには不正コードを応答しない),デバッカ・仮想環境を検知,複数の脆弱性に対応 #fit2010 #gumblar
2010-09-08 11:17:33
@expl01t
[ac] 2010年後期のGumblar.8080による改ざんされたHTMLはシンプルに.不正なJSファイルと32バイトデータ.このデータが何なのかは不明. #fit2010 #gumblar
2010-09-08 11:20:09
@expl01t
[ac] 手の込んだ難読化と暗号・復号フロー.140字では説明できんばい.jquery.jxxが復号鍵の役割.file.exe をVM環境で実行するとブルースクリーンになるデモ動画披露. #fit2010 #gumblar
2010-09-08 11:29:06
@expl01t
[ac] パターンマッチングのみによるウイルス対策は限界→Webレピューテーション(クラウドを利用したWebサイトの評価技術) #fit2010 #gumblar
2010-09-08 11:38:45
@expl01t
[ac] CCC.go.jp 毎日Malwareを捕獲し,日々進化するMalwareとの格闘:発券→気付→駆除→継続 #fit2010 #gumblar
2010-09-08 11:42:08
@expl01t
[ac] http://www.microsoft.com/japan/security/contents/sir.mspx の世界地図.日本はもっと緑かと思ってたんだけど意外ですよね. #fit2010 #gumblar
2010-09-08 12:13:01
@expl01t
[ac] レピュテーションWG 2009-01から活動.リストの信頼性,判定基準,更新頻度などの技術的課題を抱えている. #fit2010 #gumblar
2010-09-08 12:13:10
@expl01t
[ac] 総務省実証実験を2009-12から2010-01にかけて3回実施.AV検知結果にばらつきも.Google既存ブラックリストと比較するが優劣判断つかず. #fit2010 #gumblar
2010-09-08 12:13:17