標的型攻撃

2014年5月28日 (水)

APT1より危険な攻撃者グループ

5/22~5/24の三日間、和歌山県にて開催された「サイバー犯罪に関する白浜シンポジウム」に参加してきました。知見を持った業界の人々が一つの場所に集結し、昼夜問わず、サイバー犯罪に関するインテリジェンスの共有を図ることには大きな意義と重要性を感じました。来年も機会があれば、ぜひ参加したいと思います。また今回は、光栄にも講演者としてご招待頂き、弊社の持っている知見の一部を発表させて頂く機会を得ましたので、ここで、その一部を共有したいと思います。

続きを読む »

2014年4月 1日 (火)

Network Indicators of C2 / C2の兆候を発見するためのCheat Sheet

端末に感染したマルウェアは、C2サーバ(C&Cサーバ)に接続し、様々な遠隔操作を受けながら、ほとんどの場合、追加で別のマルウェアやツールをダウンロードします。そして組織内LANへの侵入を拡大しながら、入手したい機密情報を探索し、最終的に攻撃者のサーバへ機密情報をアップロード(Data Exfiltration)します。

続きを読む »

2014年1月23日 (木)

ロシアの攻撃者(Energetic Bear)による日本への攻撃

一部で既に報道されていますが、米国のCrowdStrike(クラウドストライク)社は、ロシアを拠点とする攻撃者が、日本を含む欧米・アジアに対し、攻撃活動を行った証拠を入手したことを明らかにしています。読者の皆様に注意喚起を促すことを目的に、CrowdStrike社による調査内容の一部を記載致します。

続きを読む »

2013年11月13日 (水)

RTFに埋め込まれたマルウェア

政本です。RTFファイル(リッチテキストフォーマット)に埋め込まれたマルウェア(実行ファイル)が、標的型攻撃メールやスパムメールなどに添付されているケースがあるようです。
攻撃者がRTFを使う目的は、メールの配送途中にあるゲートウェイ・アンチウイルスの検知を回避すること、およびユーザの警戒心を緩和すること、あたりだと考えます。
弊社でも、テスト用に、RTFにマルウェアを埋め込んだファイルを作成し、弊社の標的型攻撃対策製品(FireEye)で検知されることを確認しました。

続きを読む »

2013年11月 7日 (木)

無償のマルウェア検知ツール「CrowdInspect」を使ってみた

凌(しのぎ)です。 CrowdInspectは米国のCrowdStrike社がリリースしている無償のツールで、感染の疑いのある端末でマルウェアを見つけたい時に役立ちそうだということで試してみました。プロセスインジェクションの有無、クラウド上のレピュテーションなどにより、実行されているプロセスで怪しいプロセス(マルウェア)を見つけてくれます。

続きを読む »

2013年10月 1日 (火)

マルウェア解析奮闘記 ~暗号化を解除せよ~

凌(しのぎ)です。暗号化が施されたマルウェアの解析結果および対策を書きます。

■得体の知れないバイナリの解析

7月某日、あるマルウェアに感染した端末からPCAP(通信)データを入手しました。そこには得体の知れないバイナリをHTTPでダウンロードしているアクティビティが見つかりました。このバイナリを「検体」と呼ぶことにします。

この検体がどのようなファイルタイプであるかを把握するためにバイナリエディタを開き、「目grep」を行いました。バイナリデータの可視化の結果は以下の通りです。

続きを読む »

2013年9月24日 (火)

Kill Chainに“侵入拡大”のステップを追加

今年は、様々なセミナー、イベントにて、Cyber Kill Chainのコンセプトをベースに、多層防御そしてインテリジェンスの必要性を講演させて頂きました。Cyber Kill Chainは、Lockheed Martin社のMike Cloppert氏らによって提唱されたサイバー空間における迎撃メソッドのベースとなる考え方です。サイバー空間における標的型攻撃が7つのステップに分解されているため、「いずれかのステップで攻撃のチェーンを断ち切る」という多層防御の考え方を理解し設計するのに役に立ちます。

続きを読む »

Macnica Networks Corp.
セキュリティ研究センター

サイバーセキュリティに特化した研究を行うことを目的に2013年4月に開設。

■ミッション

・Threat Research

・Solution Research

・Education
 

小林 靖幸
マルウェアの動的解析と培養を担当。温和な見た目とは裏腹に、休日は鋭い眼光でサイバー空間の監視を行う一人SOCで活動中。好きなデバッガーはx64dbg。

竹内 寛
リバースエンジニアリング(マルウェア解析)を担当。彼の手に渡ったマルウェアはまさに“まな板の上の鯉”と同じ。あとは解析されるがまま。最近の楽しみは、ハイボールを片手に海外ドラマを鑑賞するか、マントノン侯爵夫人に会うこと。好きなマシン語は、EB FE。

柳下 元
リバースエンジニアリング(マルウェア解析)を担当。動的解析では動いてくれないマルウェアの皮を一枚一枚剥がしていく職人技が持ち味。

凌 翔太
CTF、IoTハッキング、マルウェアペンテストツールの開発を担当。Black Hat/DEF CONにてツールを発表。セキュリティキャンプ講師、SECCON実行委員。

政本 憲蔵
インフラ分析とOSINT分析を担当。
Back Orifice/NetBusの時代からRATに興味を持ち現在に至る。好きなことはMaltego Transformの開発とレゴブロック。

BlackHat