wakatonoの戯れメモ

はてなダイアリーから引っ越してきました。

Security

「脆弱性」を狭く捉えるな〜どちらかというと「脆弱性や脆弱な設定を突かれる」のほうが正しそう

Windowsで脆弱性というと、よく「MS16-0xx」とか「CVE2016-xxxx」という感じで管理されているものを想定する人もいる「かもしれない」。 でも、記事を読むと「psexec」という文字列が出て来たり、「ログイン情報窃取」とあるので、地産地消*1が可能な設定(…

何が新しいのか?〜内容はほとんど自爆テロだけど、何かがおかしい

記事をざっと読んで「うわこれヒドイ」と思った点は大きく2つ。 標的型攻撃の手法に類似した方法で感染拡大を試みる 通常のデータファイルだけではなく、バックアップファイルの破壊も試みる で…記事をもとに、ざっと図を書き起こしてみた。 図中(1)で感染し…

新手のランサムウェア…ですか

トレンドマイクロさんのblogや、MicrosoftさんのThreat Research & Response Blogに、またも頭を抱える事例が…。 その名もSamas。

基本は「普通のセキュリティ対策」+「こまめなバックアップ」と「バックアップされたデータのオフライン保存」

「カネさえ払えば復元できるならば」と思う人はいいけど、何度も何度も引っかかるようなケースも想定できるので、その度にカネ払うのはちょっとどうかと…なので、そんな(Ransomware被害から復旧するために攻撃者に支払う)カネがあるならば、そのカネを使っ…

額にもよるが、「身代金支払い」も視野に入れることで、対処の選択肢は広がるのではないか

トレンドマイクロさんの記事では、身代金を支払うべきでは「ない」理由として以下の3つを挙げている。 「身代金」を払ってもサイバー犯罪者が約束を守る保証はどこにもない 身代金の支払いはサイバー犯罪者に資金を与えることになる 身代金を支払ったことが…

流行(普及?)しているランサムウェアは、実はカネさえ払えば確実に復元できるのではないか?という仮説

上記のことより、広域に流通している/よく発見されるランサムウェアは、実はカネさえ払えば(自身のサービスの信用を維持するために)確実に復号できるのではないか?という仮説が成り立つ。 致命的なバグ(本来意図した復号機能を提供できない/暗号化や復…

「カネを払っても元に戻らない」のがRaaSプロバイダに起因する場合

このような場合はもはや論外でw、RaaSユーザはまずそのプロバイダは使わない。 自分に非がないのに自分が儲けられないってのは普通に嫌だろうから。

「カネを払っても元に戻らない」のがRaaSユーザに起因する場合

RaaSユーザの意図的な行動により、Ransomware被害者が「カネを払ってもデータが元に戻らない」となった場合、最たる被害者は Ransomware被害者よりもRaaS提供者になる可能性が高い。 これは、復号できないがため、カネを払わずバックアップから戻すという(…

ケーススタディ:ランサムウェアに感染してカネを払っても元に戻らないと何が起こる?

こんだけ流行ってる状況を見ると、ランサムウェアは、すでに犯罪者ネットワークでは認知されたビジネスモデルになっていると考えるのが自然だ。 そして、ランサムウェアの生成から配布までをサービスとして提供するRansomware as a Service(RaaS)も出始めて…

「身代金を支払っても元に戻る保障はない」というのは本当か?

まあ、本当だと思う。ただこれは、ソフトウエアのバグなどに起因して、(攻撃者側が)戻す意図があってもできないケースなどもありうるため、どの程度「元に戻らない」のかはよくわからない。

はじめに〜オレの記事は、犯罪者に利することを目的とするものでは「ありません」

いろいろと書いてるうちに、「こいつは犯罪者/攻撃者の片棒を担ぐのか?」と言われそうなことも出てくるかもしれませんが、そんなつもりは1ビットもありません。 あくまで「客観的」「中立」にものごとを考察した結果であって、そんなたいそうな意図は全く…

autorun.exe のアイコンの話

これは、後日追記しました。 ただ、Ubuntuで見たプロパティレベルでの確認に留まっており、Windows上で見たらどうなるかは確認してません。

VirusTotalのスキャン日付が古すぎる理由&ファイル名がランダムっぽい理由

これは、「同じ検体がすでにスキャンされていた」つうことで、あえてスキャンをしなかったためにこうなりました。 ハッシュ値で比較して「すでにあるぜ」だったので。 VirusTotalのファイル名の欄は、すでにスキャンされていたファイル名がこれだった、とい…

釣りと言われても事実だし

ちうてもしょうがないので、補足などなど。

ロッキーメモリの件の続報(2)〜どう考えても出荷前の工程で感染したとしか思えない…

10年以上のマルウエア入り景品騒動などでも類似の事案があり、こちらは調査中のまま(結局原因がわかったのかどうかも不明)だけど、この件で見つかったのは、WORM_QQPASS.ADHだったようだけど。マルウエアが空気感染するならばまだしも、そんなハイパーテク…

ロッキーメモリの件の続報(1)〜やっぱ相当古いこのマルウエア

本格的な解析はまた後日やるとして、autorun.exeの件続報。ロッキーメモリがリリースされたのは2009年2月。 で、autorun.exeのタイムスタンプ(更新日時)は2007年。 で、このファイルがVirusTotalで解析されたのは2013年。 https://www.virustotal.com/ja/f…

Lockyメモリ買ってみた(5)〜投げ売りの理由?

これ、実は2個1000円未満で売られてたモンなのだけど、メーカーも代理店もすでになかったり。 もしかして、出荷したモンがウイルスに感染しているのが発覚して取引停止にでもなったか?とか詮索したくなる…。まぁ、セキュリティなんとかしなきゃと思って使い…

Lockyメモリ買ってみた(4)〜ビンゴじゃねえか!

autorun.exeをVirustotalに放り込んでみたところ。 真っ黒じゃねーか!

Lockyメモリ買ってみた(3)〜なんだこいつわ…

autorun.infの中を見てみたところ。 えーと、なんかRecyclerの中のファイルautorun.exeを実行しようとしてますよ…

Lockyメモリ買ってみた(2)〜虫の知らせ

なんとなく嫌な予感がしたので、Ubuntuマシンで開いてみた。 新品のはずなんだけど、autorun.infと意味ありげなRecyclerフォルダがいますよ…

Lockyメモリ買ってみた(1)〜ネタとしてw

機械式4桁番号を設定してデータを守るLockyメモリというUSBメモリを買ってみた。まぁ、なんかおもしろそうだったしw。まぁ、ネタとして買ってみたわけだけど、まさかそれ以上のネタ拾っちゃうとは… あくまでリンク先は「Lockyメモリ関連で最近見た記事」で…

イケてないとは書いたが、全く意味がないとは思わない

多く行われている(であろう)標的型メール攻撃の訓練内容がイケてないとは書いたものの、一定の意味はあるとも考えている。 そういう攻撃があるということを知ってもらう 自組織内の(こういう種類の攻撃に対する)強さというか脆さの現状把握を行う 訓練と…

「訓練で使ったメールの文面が不謹慎である」というお叱りも?

仮にオレにそんな話が来たならば、そんなお叱りは(拝聴するものの)お叱りの内容そのものは全部スルーし、お怒りいただいたことに対して(心の中で)御礼申し上げる。 なぜならば、そんだけ「ひっかかりやすい」パターンだと相手が教えてくれるから。 おそ…

報告も組にした標的型(メール)攻撃対応訓練の課題

社内や組織内で、こういうセキュリティ関連の訓練を企画・実施する場合、最大の課題は「企画する側も本当のインシデントと同様の対応を行う」ためにはどう企画・実行するかという点だったりする。 やるならば、訓練対象の企業のトップや、セキュリティ関連の…

計測するのは「開封率」+「報告や申告の数とか内容とか」がいいのではないか

前述のように、予防だけではなく検知・対応もできるようにしないといけないのは現状だが、検知・対応をどうやって実現するかは「報告に基づいた対応」を行うのが安直ではあるが現実的だ。 あらかじめ組織内や関係者に「何かおかしいと思ったら連絡報告を」と…

標的型(メール)攻撃対応訓練において、開封率を計測することの何が中途半端なのか

まず、オレは「開封率を計測すること」が意味ないとは思わない。しかし、これだけで充分とも全く思っていない。理由は以下の4点による。 開封率を測定して、後日同様の訓練を実施した際に開封率を下げていくという対処は、予防の観点からはある程度役立つが…

よく聞く標的型(メール)攻撃の対応訓練と効果測定の内容

「標的型攻撃の対応訓練やりますよー」というセールストークに対し、「具体的に何を測るの?」というのを質問すると、「開封率」というお返事が帰ってくることが多い。 これは実は、現在行われるべき訓練としては中途半端な内容にしかなり得ない。

標的型(メール)攻撃の対応訓練って…

このところ、標的型攻撃の話がいろいろ出て来て、それにともなって訓練って話もあれこれ聞くのだけど、とにかく訓練内容がイケてない。

ご注意を…と言いたいものの、注意する術がみつからない…

とりあえず、アマゾンのアカウント探りが行われているような挙動が(私を含めて数名のところで)見られたということで、アカウント管理(特にパスワード管理)は気をつけてください、という感じでしょうか。 アカウントが割れると、各種攻撃のネタにされると…

自分ひとりじゃなかったこの不可解な現象

こんなのが自分だけだったら、「そそっかしい人もいるんですね」で終わったんですが、そうでなかったようでして…それ以外にもそういうメールが届いた人が出て来ました(その人の場合は、心当たりのない注文完了メールが飛んできて、アドレス変更が飛んできた…