OSCPを受験して合格しました!久々の記事更新ですね・・・実は転職をしたので色々とバタバタしていました。本来、このブログは前職のチーム非公式のブログなのですが、更新していたのがほぼ自分一人で、このままブログが閉鎖されるのも寂しいので、転職する…
前回の記事に続いて再びUrsnifの静的解析について記載していこうと思います。 前回の記事ではUrsnifのExplorerへのプロセスインジェクションの手法について解説しました。今回はExplorerにインジェクションされた不正コードの解析およびIATフック(Import Ad…
ブログやTwitterでも発信している通り、今年も不審メールのばらまきが引き続き行われています。我々が解析している中で最もばらまきが多いのはUrsnifです。そこで今回、2019年4月15日にばらまかれたUrsnif検体について、初めて静的解析を実施してみました。…
6月22日から23日にかけてGoogle CTFが開催されていたため、参加しました。本選のほうは解けなかったため、Begginers Questのほうにチャレンジし、5問ほど解けたのでそのWriteupを記載します。 ■Enter Space-Time Coordinates ELFファイルを渡されるため、ま…
5月25日(土)15:00から24時間開催されたSECCON Beginners CTF 2019に参加しました。チームとしては9問解答することができ、私はそのうち5問(Reversingの[warmup]Seccompare, Leakage, Linear Operation, CryptoのSo Tired, MiscのDump)解いたので、そのWri…
2019/05/15(水)に少数ですが、不審メールを確認したとのtwitterが流れていましたので該当のファイルに対して動的分析をしてみました。今回、Twitter上で報告された不審メールは拡張子がisoファイルであり、機械翻訳で変更されたものと思われるような文章でし…
05/08分の不審メールを調査しましたので本ブログに更新したいと思います。※ここ最近は不審メールが多い傾向になっているような気がします。 本解析の内容については、以前にbomさんのブログにて解析されていた情報とほぼ同じとなります。https://bomccss.hat…
2019/05/07(火) にばらまかれた不審メールの調査について調査しましたのでブログに記載します。※何か解析結果アップデートがありましたら、新規記事かこちらのページへ追記しようと思います。<不審メール情報>◾️文面以下のリンクから確認することが出来…
本日(2019年4月15日)、Ursnifに感染するばらまきメールを観測しましたので、調査しました。 ■件名 下記の件名でメールがばらまかれております。Fw:Fw:HRFw:list of employees to reduce @taku888infinityさんが作成されている下記ファイルより参考にさせて…
4/12に国内でばら撒かれたメールに添付されたWordファイルのマクロおよびPowerShellの難読化について調査しました。難読化自体は簡易的なものでしたが、調査方法のメモ代わりに記載しておこうと思います。なお、解析するときはネットワークを遮断する、感染…
2019年4月12日の17時ごろからばら撒かれた不審メールについて解析してみました。 今回の不審メールはバンキングマルウェアのEmotetだと思われます。Emotetは2018年の11月から日本で確認されることが多くなりました。 ■添付ファイル ・今回解析したファイルは…
昨日(2019年4月10日)beblohに感染する日本語のばらまきメールを観測しましたので、調査しました。 ■添付ファイル ファイルの内容は下記のようになっています。コンテンツの有効化をクリックするとpowershellが起動します。 ファイル名 (1)._____.6160 SHA2…
2019年4月3日でばらまかれた不審メールを解析してみました。解析方法の整理をかねて、解析結果を今後投稿していこうと思います。まだマルウェア解析歴が浅いため間違っている部分はあるかもしれませんが、その際はコメントを頂ければ幸いです。 ■添付ファイ…