- yousukezan
- 5326
- 0
- 4
- 1
ハッキングされると5時間以内に80%の情報が取られるとのこと。気づかないうちに終わるケースも。#codeblue_jp
2015-10-29 11:20:01正直な所、長い文字列を送った結果、500 エラーが出たから、BoF ですという報告内容ですと、脆弱性として認定することはないかと思います。千田さんから報告いただいた際は、コード上の問題と併せて報告いただいたので、問題の詳細が大変わかりやすかったです。 #codeblue_jp
2015-10-29 11:23:20セキュリティ業界の失敗: APT解決策について考えられてきたものとして、 アンチウイルス Sandbox NGFW SIEM アプリケーション管理 脆弱性緩和技術 IRサービス があった。 これらのソリューションについての問題を考えていく。 #codeblue_jp
2015-10-29 11:24:14APTは日本で2006年に発見されたがセキュリティベンダは2009年になってソリューションを提供した。またAPTは各国でも問題になっており、タイの旅客機墜落にAPTが関連している可能性がある、との報告もある。マジ? #codeblue_jp
2015-10-29 11:24:23アンチウイルスは攻撃者はAntivirusを心配していない。 APTActorはVirusTotalでマルウェアを試験している。 (ヒューリスティックやら振る舞い検知とか、VirusTotalだけでは評価できない技術があるという話題もあったと思うが) #codeblue_jp
2015-10-29 11:26:55各種対策の状況について アンチウイルスは事前に対策可能。 サンドボックスは色々な環境変数をチェック pic.twitter.com/A3r3q0UjTl
2015-10-29 11:28:45APT攻撃者はアンチウイルス製品からの検知回避として、VirusTotalで自身が使用するマルウェアが各セキュリティベンダ製品に検知されないかを検証している。低コストで回避が出来てしまう。 #codeblue_jp
2015-10-29 11:28:50Hata スクリプトは、@hatashinya さんのお名前から命名されました(豆知識 #codeblue_jp
2015-10-29 11:29:25アンチサンドボックスのアンチは大変。ベンダーは大変なコストかかるのに、攻撃はひとつでも抜け道を見つければよい。あと、暗号化されたファイルに対して無力。
2015-10-29 11:30:32マルウェアは CPUID デバイス情報など様々な情報を用いて仮想環境を検知して動作を停止する。 攻撃者が仮想環境を検知するコストは非常に低い一方 anti-anti-sandboxの実装は非常に難しい。#codeblue_jp
2015-10-29 11:31:08パストラバーサルにはフォルダが必要。Zip ファイルでデータを登録するシステムを踏み台に使う。Zip ファイル内に攻撃用のフォルダを作っておく。Zip ファイルをサーバー上で展開した際に、攻撃用のフォルダが配置される。結果パストラバーサルで悪用できる。 #codeblue_jp
2015-10-29 11:34:27マルウェアがGoogle Driveに接続している場合、トラフィックも暗号化されているし、接続先はGoogleのアドレスである。 これをNGFWが検出することは不可能。 #codeblue_jp
2015-10-29 11:34:33巧妙な攻撃ではC&Cサーバを頻繁に変更し、接続先の情報を一般サービスの掲示板などに普通の投稿に見せかけて埋め込む。ネットワークベースの監視や防御の対策では対応できない #codeblue_jp
2015-10-29 11:37:07