cropPAK0I9A7880

mattn on Twitter: “Windows は UNIX と違い、コマンドを入力した際にカレントディレクトリにある実行モジュールまでも実行してしまうんだけど、環境変数 NoDefaultCurrentDirectoryInExePath でそれを制御できると… https://t.co/gP3p09Eodo”

mattn on Twitter: "Windows は UNIX と違い、コマンドを入力した際にカレントディレクトリにある実行モジュールまでも実行してしまうんだけど、環境変数 NoDefaultCurrentDirectoryInExePath でそれを制御できると… https://t.co/gP3p09Eodo"

mattn on Twitter: "Windows は UNIX と違い、コマンドを入力した際にカレントディレクトリにある実行モジュールまでも実行してしまうんだけど、環境変数 NoDefaultCurrentDirectoryInExePath でそれを制御できると… https://t.co/gP3p09Eodo"

Windows は UNIX と違い、コマンドを入力した際にカレントディレクトリにある実行モジュールまでも実行してしまうんだけど、環境変数 NoDefaultCurrentDirectoryInExePath でそれを制御できると… https://t.co/gP3p09Eodo

はてなブックマーク - mattn on Twitter: "Windows は UNIX と違い、コマンドを入力した際にカレントディレクトリにある実行モジュールまでも実行してしまうんだけど、環境変数 NoDefaultCurrentDirectoryInExePath でそれを制御できると… https://t.co/gP3p09Eodo" はてなブックマークに追加

cropPAK0I9A7880

ロシアから遮断・検閲されてもツイートできる「Tor版Twitter」が登場、実際にアクセスしてみるとこんな感じ

ロシアから遮断・検閲されてもツイートできる「Tor版Twitter」が登場、実際にアクセスしてみるとこんな感じ

ロシアから遮断・検閲されてもツイートできる「Tor版Twitter」が登場、実際にアクセスしてみるとこんな感じ

ロシア政府によってアクセス制限を課されたTwitterが新たに、匿名ネットワーク技術「Tor」を駆使してアクセス制限・検閲を回避できる「Tor版Twitter」を開設したので、実際に使ってみました。 About twitter.com supported browsers https://help.twitter.com/en/using-twitter/twitter-supported-browsers Twitter laun...

はてなブックマーク - ロシアから遮断・検閲されてもツイートできる「Tor版Twitter」が登場、実際にアクセスしてみるとこんな感じ はてなブックマークに追加

cropPAK0I9A7880

「アノニマス」ロシアで国営放送などにハッキング ウクライナの映像流す(テレビ朝日系(ANN)) – Yahoo!ニュース

「アノニマス」ロシアで国営放送などにハッキング ウクライナの映像流す(テレビ朝日系(ANN)) - Yahoo!ニュース

「アノニマス」ロシアで国営放送などにハッキング ウクライナの映像流す(テレビ朝日系(ANN)) - Yahoo!ニュース

ロシアでウクライナへの侵攻を巡る報道規制が敷かれるなか、ハッカー集団がロシアの国営放送などをハッキングしてウクライナの映像を流したと発表しました。 国際的なハッカー集団「アノニマス」は6日、ロシアの国営放送や映像配信サービスをハッキングしたとツイッター上で発表しました。 本来の映像を差し替えてウクラ...

はてなブックマーク - 「アノニマス」ロシアで国営放送などにハッキング ウクライナの映像流す(テレビ朝日系(ANN)) - Yahoo!ニュース はてなブックマークに追加

cropPAK0I9A7880

JavaScriptで壮大なハッキング体験を実現するWebゲーム「Bitburner」で遊んでみた! – paiza開発日誌

JavaScriptで壮大なハッキング体験を実現するWebゲーム「Bitburner」で遊んでみた! - paiza開発日誌

JavaScriptで壮大なハッキング体験を実現するWebゲーム「Bitburner」で遊んでみた! - paiza開発日誌

どうも、まさとらん(@0310lan)です! 今回は、ブラウザ上からリアルなハッカー気分を疑似体験できるユニークな無料Webゲームをご紹介します! PCゲームとしてSteamからもリリースされていますが、今回ご紹介するブラウザ版は手軽に遊べるのでオススメです。ターミナル風のゲーム画面が特徴で、実際にJavaScriptを使っ...

はてなブックマーク - JavaScriptで壮大なハッキング体験を実現するWebゲーム「Bitburner」で遊んでみた! - paiza開発日誌 はてなブックマークに追加

cropPAK0I9A7880

北朝鮮にハックされて頭にきたセキュリティ研究員がしかえし→北朝鮮全土ネット遮断

北朝鮮にハックされて頭にきたセキュリティ研究員がしかえし→北朝鮮全土ネット遮断

北朝鮮にハックされて頭にきたセキュリティ研究員がしかえし→北朝鮮全土ネット遮断

北朝鮮にハックされて頭にきたセキュリティ研究員がしかえし→北朝鮮全土ネット遮断2022.02.09 23:00 satomi パジャマでサイバー攻撃。 「国家の主な財源がハッキング」と言われる国なんて、世界広しといえども(経済制裁でまともに貿易できない)北朝鮮ぐらいなわけですが、ここのスパイに猛攻をかけられてウンザリした米...

はてなブックマーク - 北朝鮮にハックされて頭にきたセキュリティ研究員がしかえし→北朝鮮全土ネット遮断 はてなブックマークに追加

cropPAK0I9A7880

プライベートジェットを追跡できるシステムを構築した19歳がイーロン・マスクから口止め料を提示される

プライベートジェットを追跡できるシステムを構築した19歳がイーロン・マスクから口止め料を提示される

プライベートジェットを追跡できるシステムを構築した19歳がイーロン・マスクから口止め料を提示される

by Wired Photostream テスラやSpaceXのイーロン・マスクCEOが所有するプライベートジェット機の離着陸情報を逐一ツイートするBOTアカウントがElon Musk's Jet(@ElonJet)です。このElon Musk's JetにマスクCEO本人がつぶやきをやめるようにダイレクトメッセージを送信し、口止め料も支払う構えも見せたと報じられていま...

はてなブックマーク - プライベートジェットを追跡できるシステムを構築した19歳がイーロン・マスクから口止め料を提示される はてなブックマークに追加

cropPAK0I9A7880

1Tbpsを超えるDDoS攻撃にGitLabサーバーが悪用されていると判明

1Tbpsを超えるDDoS攻撃にGitLabサーバーが悪用されていると判明

1Tbpsを超えるDDoS攻撃にGitLabサーバーが悪用されていると判明

ユーザーがホスティングしたGitLabサーバーに存在する脆弱(ぜいじゃく)性を突いて、悪意のある何者かが1Tbpsを超えるDDoS攻撃を仕掛けていると報じられました。問題の脆弱性は2021年4月に修正パッチが公開されていますが、パッチが適用されていないGitLabサーバーは3万台以上に及びます。 GitLab CE CVE-2021-22205 in t...

はてなブックマーク - 1Tbpsを超えるDDoS攻撃にGitLabサーバーが悪用されていると判明 はてなブックマークに追加

cropPAK0I9A7880

“最強”ハッカーの手口とは~流出した“攻撃マニュアル”に迫る

“最強”ハッカーの手口とは~流出した“攻撃マニュアル”に迫る

“最強”ハッカーの手口とは~流出した“攻撃マニュアル”に迫る

ファイルの流出が確認されたのは、日本時間の8月5日夜。 情報セキュリティー会社の解析技術者の吉川孝志さんが、ロシアのある闇サイトを監視していた。 見つけたフォルダのタイトルは「勤勉な労働者のためのマニュアルとソフトウェア」。 中を開くと、「手動でウィンドウズのウイルス対策ソフトを無効にする方法」とか...

はてなブックマーク - “最強”ハッカーの手口とは~流出した“攻撃マニュアル”に迫る はてなブックマークに追加

cropPAK0I9A7880

仮想通貨660億円流出 ハッカーが返還「遊びでやった」: 日本経済新聞

仮想通貨660億円流出 ハッカーが返還「遊びでやった」: 日本経済新聞

仮想通貨660億円流出 ハッカーが返還「遊びでやった」: 日本経済新聞

日経の記事利用サービスについて 企業での記事共有や会議資料への転載・複製、注文印刷などをご希望の方は、リンク先をご覧ください。 詳しくはこちら 【ニューヨーク=宮本岳則】分散型金融(DeFi、ディーファイ)関連サービスを手がけるポリ・ネットワークから約6億ドル(約660億円)の暗号資産(仮想通貨)が流出した...

はてなブックマーク - 仮想通貨660億円流出 ハッカーが返還「遊びでやった」: 日本経済新聞 はてなブックマークに追加

cropPAK0I9A7880

ランサムウェア攻撃に対し身代金を払った企業の8割はまた襲われる|ニューズウィーク日本版 オフィシャルサイト

ランサムウェア攻撃に対し身代金を払った企業の8割はまた襲われる|ニューズウィーク日本版 オフィシャルサイト

ランサムウェア攻撃に対し身代金を払った企業の8割はまた襲われる|ニューズウィーク日本版 オフィシャルサイト

Most Businesses That Pay Off After Ransomware Hack Hit With Second Attack: Study <会社の重要なデータを人質に獲るランサムウェア。 一度身代金を払うとまた襲われる確率が高くなるうえ、データが完全に戻るとは限らず、4社に1社は廃業すにいたるという報告書が出た> ランサムウェア(身代金要求型ウイルス)に...

はてなブックマーク - ランサムウェア攻撃に対し身代金を払った企業の8割はまた襲われる|ニューズウィーク日本版 オフィシャルサイト はてなブックマークに追加

cropPAK0I9A7880

【Amazonプライムデー】とうとう来た! 至高オブ至高のキーボード「HHKB Professional HYBRID Type-S」が2,000円オフ

Photo:三浦一紀|僕が愛用しているHHKBType-S。キートップを非純正品に交換しています。一度使うとやめられないよ。現代において、僕が思う最高のキーボードがPFUの「HappyHackingKeyboardProfessionalHYBRIDType-S」(以下HHKBType-S)です。入力時の滑らかさに加え静粛性も高く、まるでシルク地のシーツをなでているかのような打鍵ができる、そんなキ
cropPAK0I9A7880

海賊版サイトへのアクセスをブロックするだけのマルウェア

海賊版サイトへのアクセスをブロックするマルウェアキャンペーンについてSophosが解説している(Sophos News の記事TorrentFreakの記事HackRead の記事Ars Technica の記事)。

Sophos が「Vigilante」と呼ぶマルウェアはさまざまなゲームの海賊版を装って BitTorrent で配布されており、リンクが Discord で共有されているという。マルウェアを実行すると「MSVCR100.dll」が見つからないといった偽のエラーメッセージを表示し、バックグラウンドで処理が行われる。処理の内容としては、キルスイッチとみられるファイル名やレジストリ値の検索を行い、見つかればそこで処理を終了し、見つからなければ hosts ファイルの書き換えを行う。

また、インターネットに接続している場合はファイル共有サービス 1fichier のタイポスクワッティングサイトに接続して「ProcessHacker.jpg」という名前の実行ファイルをダウンロードするほか、マルウェアのファイル名を送信する。ただし、このサイトは既にアクセスできなくなっているとのこと。マルウェアの圧縮ファイルにはハッシュ値を変えて別ファイルとして配布するためのデータが同梱されている。.nfo という拡張子のファイルには先頭1,150バイトをゴミデータで埋めた後に人種差別的表現が1,000回以上繰り返されているそうだ。

hosts ファイルに追加されるエントリは ThePirateBay など数100~1,000件以上の海賊版サイトドメインを localhost アドレスの127.0.0.1に割り当てるものだ。ただし、マルウェアが常駐することはなく、ユーザーが hosts ファイルの変更を元に戻した場合、再びマルウェアを実行しない限り攻撃が続くことはない。Sophos の Andrew Brandt 氏は10年以上前に同様のマルウェアを発見しているが、そこから特に進化した様子は見られないとのことだ。

すべて読む | YROセクション | セキュリティ | 海賊行為 | idle | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Microsoft Defender Antivirus、Microsoft関連ホストが指定されたhostsファイルを脅威として検出 2020年08月07日
「.com」のミスタイプを狙う「.cm」サイト、今年だけで1,200万回近くアクセスされていた 2018年04月08日
フライトシミュレーターのアドオンにマルウェア、開発元は海賊版対策だと説明 2018年02月22日
Symantec、Torrentユーザーをセキュリティリスクから保護するシステムの特許を取得 2017年06月10日
ストリートファイターVのアップデートで追加された不正防止対策がルートキットのようだと批判される 2016年09月25日
米司法省が差し押さえていたはずのMegaupload関連ドメイン、サイバー犯罪者に悪用される 2015年05月30日
米エンターテインメント業界、海賊版撲滅のためルートキットの使用合法化を求める 2013年05月29日
作業に集中するために、自主的にサイトブロックする「なまけWebごろし」 2011年07月22日
3/10のWindows Defender更新でhostsが書き換えられる!? 2009年03月11日

museums-victoria-QSBm03YHtrI-unsplash

How I Found A Vulnerability To Hack iCloud Accounts and How Apple Reacted To It – The Zero Hack

How I Found A Vulnerability To Hack iCloud Accounts and How Apple Reacted To It - The Zero Hack

How I Found A Vulnerability To Hack iCloud Accounts and How Apple Reacted To It - The Zero Hack

This article is about how I found a vulnerability on Apple forgot password endpoint that allowed me to takeover an iCloud account. The vulnerability is completely patched by Apple security team and it no longer works. Apple Security Team rewarded me $18,000 USD as a part of their bounty program b...

はてなブックマーク - How I Found A Vulnerability To Hack iCloud Accounts and How Apple Reacted To It - The Zero Hack はてなブックマークに追加

sora-sagano-WFSap6CIXuw-unsplash

Electronic Artsのデータ侵害、スタッフのPCから盗まれたcookieが入り口に

先日発生した Electronic Arts (EA)のデータ侵害で、ハッカーグループが(EAスタッフのPCから)盗まれたcookieを入手して侵入の入り口にしたとMotherboardが報じている(Motherboardの記事HackReadの記事Neowinの記事SlashGearの記事)。

グループの代理人とされる人物がオンラインチャットでMotherboardに伝えたところによれば、攻撃の始まりはオンラインで10ドルで売られているcookieの購入だったという。このcookieを用いてSlackにログインしたハッカーはEAのSlackチャンネルへのアクセスが可能となり、チャットでITサポート担当者に携帯電話をなくしたとメッセージを送って多要素認証トークンを入手。EAの社内ネットワークに侵入して複数のサービスにログインし、ゲームやツールのソースコードを盗み出したとのこと。

グループはFIFA 21やFrostbiteエンジンなどのソースコード計780GBを入手したと主張し、さまざまなアンダーグラウンドフォーラムで売り出しているそうだ。EAは一部のソースコードが盗まれたことを認めたうえで、プレイヤーのデータにはアクセスされていないと説明し、セキュリティを改善したことやビジネスに影響がないなどとする声明をメディアに出している。

すべて読む | セキュリティセクション | セキュリティ | インターネット | ゲーム | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Slackがパスワードをリセットするよう通知へ。Android版アプリの一部ユーザーに対して 2021年02月09日
GitHub、内部向けSlackチャンネルでナチスへの懸念を示した従業員の解雇は誤りだったと謝罪 2021年01月19日
2020年版パスワードを正しく使用していない人・団体のランキング、1位はTwitter従業員、2位はZoomユーザー 2020年12月05日
今度は3DSのOSやソフトのソースコードが流出? 2020年05月26日
Wiiの設計情報やソースコードが流出? 2020年05月07日
Slack、2015年の不正アクセスに関連してアカウントの約1%でパスワードをリセット 2019年07月21日
Microsoftが日常業務でSlackを使用禁止し、GitHub.comを非推奨にしているとの報道 2019年06月26日
EA曰く、「ガチャ」は「驚きの仕組み」であり非常に倫理的 2019年06月21日
任天堂、loot box規制を受けてモバイルゲーム2本のベルギーでのサービス終了を発表 2019年05月24日
ベルギー当局がEAを捜査、ゲーム内アイテムがランダムで入手できるタイプの課金システムを問題視 2018年09月13日
EAの新作ゲーム「Star Wars バトルフロントII」、課金システムに対し強い批判が集まる 2017年11月20日
EA、PCやゲーム専用機の大型タイトルでもゲーム内課金で稼ぐ方針へ転換 2017年10月26日
Electronic Artsが標準ライブラリEASTLを公式にオープンソース化 2016年02月16日

cropPAK0I9A7880

Google Chrome、アドレスボックスにドメイン名のみを表示する計画を取りやめ

Googleは昨年から一部のユーザーを対象に、ChromeのOminibox(アドレス・検索ボックス)のURL表示をドメイン部分のみにするテストを行っていたが、本格導入は行わないことにしたそうだ(Issue 1090393Ghacksの記事Android Policeの記事9to5Googleの記事)。

ドメイン名のみの表示はURLにブランド名を含めてユーザーを混乱させる攻撃への対策の一つで、テストはユーザーに悪意あるサイトへのアクセスを気付かせることができるかどうかを確認することが目的だった。しかし、このような表示方法を取ってもセキュリティは向上しないことが確認されたという。なお、テスト対象にならなかったユーザーもchrome:flagsでフラグ設定すればドメイン部分のみの表示を試せたが、該当のフラグは既にChrome 90で削除されていた。

すべて読む | セキュリティセクション | Chrome | セキュリティ | スラッシュバック | インターネット | Chromium | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Google、プロトコルを省略したURLがChromeに入力された場合のデフォルトをHTTPSにする計画 2021年01月08日
Chrome 86 Dev/Canary、アドレスボックスにドメイン名のみを表示するテストを実施 2020年08月15日
Google Chrome、Web検索時にアドレスバー内に検索キーワードを表示するテストを実施 2020年02月06日
Chrome Canary、Web検索時に検索語句だけをOmniboxに表示する機能をテスト中 2018年09月24日
Google Chrome、URLの表示されないアドレスバーが標準となるか 2014年05月06日

cropPAK0I9A7880

Hack Patch!: Trusted Typesの概念と背景

Hack Patch!: Trusted Typesの概念と背景

Hack Patch!: Trusted Typesの概念と背景

今回はTrusted Typesに対する個人の見解を書いてみます。 Trusted Typesはブラウザが文字列を文字列以外の型として扱うSinkに対して、開発者に型の変換を強制するセキュリティ機能です。Trusted TypesによりDOM-based XSSを原理的に減らし、DOM-based XSSに対するセキュリティレビューを簡潔にすることが出来ます。 安全...

はてなブックマーク - Hack Patch!: Trusted Typesの概念と背景 はてなブックマークに追加

cropPAK0I9A7880

EAがハッキングされ盗まれた780GBものソースコードや内部ツールなどが販売される – GIGAZINE

EAがハッキングされ盗まれた780GBものソースコードや内部ツールなどが販売される - GIGAZINE

EAがハッキングされ盗まれた780GBものソースコードや内部ツールなどが販売される - GIGAZINE

by Paul Downey 「バトルフィールド」シリーズや「FIFA」シリーズ、「The Sims」シリーズ、「Apex Legend」などのパブリッシャーとして知られるElectronic Arts(EA)がハッキングされ、大量のソースコードと内部ツールが盗み出されました。このハッカーはダークウェブ上で盗み出したデータを販売しています。 Hackers Ste...

はてなブックマーク - EAがハッキングされ盗まれた780GBものソースコードや内部ツールなどが販売される - GIGAZINE はてなブックマークに追加

cropPAK0I9A7880

アメリカがランサムウェア攻撃への対応の優先度をテロと同等にまで引き上げる – GIGAZINE

アメリカがランサムウェア攻撃への対応の優先度をテロと同等にまで引き上げる - GIGAZINE

アメリカがランサムウェア攻撃への対応の優先度をテロと同等にまで引き上げる - GIGAZINE

by jlhervàs 2021年6月4日、アメリカの企業に対して行われたランサムウェア攻撃で国内に被害が出たことを受け、アメリカの司法省が「ランサムウェア攻撃の対応の優先度をテロと同等にまで引き上げている」と述べたと報じられました。 Exclusive: U.S. to give ransomware hacks similar priority as terrorism | Reuters...

はてなブックマーク - アメリカがランサムウェア攻撃への対応の優先度をテロと同等にまで引き上げる - GIGAZINE はてなブックマークに追加

h-heyerlein-ndja2LJ4IcM-unsplash

新種ランサムウェア解説:Seth-Locker、Babuk Locker、Maoloa、TeslaCrypt、CobraLocker

ランサムウェアは絶えず進化し続けています。これは大企業を狙うランサムウェアファミリや、標的型のアプローチを採用するランサムウェアファミリだけではなく、新種のランサムウェアファミリにも言えることです。

今回は、新たに発見されたSeth-Lockerと呼ばれるランサムウェアファミリを紹介します。次に、Babuk Locker、Maoloa、TeslaCryptの亜種の進化についても取り上げます。最後に人気のあるゲームを装うCobraLockerという亜種の出現について解説します。

新種のランサムウェアSeth-Locker

トレンドマイクロはSeth-Lockerという新種のランサムウェアを発見しました。この新しいランサムウェアの興味深い特徴は、暗号化の機能に加えてバックドアの機能が仕込まれている点です。これまでに確認されたバックドアの機能は以下のようなものです。

  • open_link:コマンド&コントロール(C&C)サーバからのコンテンツの読み取りに使用
  • down_exec:ファイルのダウンロードと実行に使用
  • shell:コマンドラインからシェルコマンドを実行
  • locker:ランサムウェアのルーチンを実行
  • kill:プロセスまたは自身を終了

このランサムウェアはファイルの暗号化、拡張子(.seth)への変更、身代金要求メッセージのドロップといった典型的な動作を実行します。

そのコードには初歩的なミスや見落としがいくつかあり、今なお開発途上にあると推測されます。たとえば、不正プログラムのコマンドが目につきやすく、ファイル拡張子のチェックの繰り返すコードが存在します。さらに、このランサムウェアは動作を隠蔽するという点で巧妙さに欠けています。しかし、将来的には、このランサムウェアの改良版が出現することが想定されます。

Babuk Lockerの亜種の進化

Babuk Lockerもまた新種のランサムウェアファミリであり、企業を標的とするランサムウェアとして2021年に初めて発見されました。これは、2020年12月の時点でVasa Lockerと称していたランサムウェアです。Babuk Lockerは、急速に進化する活発なランサムウェアであることが明らかになりつつあります。2021年の早い時期に、既に複数の企業がBabuk Lockerの攻撃を受けています。その手口は盗んだ情報を公開すると言って脅迫する暴露型ランサムウェアに該当します。

新しいRansomware as a Service(RaaS)であるにもかかわらず、そのオペレーションは既知の標的型ランサムウェア攻撃の手法を踏襲しています。初期アクセスには、侵害したユーザアカウント、脆弱性の悪用、またはマルウェアスパムを利用します。攻撃実行者は標的のネットワークおよび重要なファイルを横展開(ラテラルムーブメント)で調べ上げ、そのデータを二重脅迫の一環として盗み出します。そして最終的に、ランサムウェアのペイロードの展開へと進みます。さらに、盗み出したデータを自らが運営するブログまたはTorサイトに投稿します。

Babuk Lockerでは、ChaCha8ストリーム暗号方式による暗号化と楕円曲線ディフィー・ヘルマン鍵共有(ECDH)による鍵生成が利用されています。したがって、秘密鍵がなければ、ファイルを回復できる見込みは極めて薄くなります。この不正プログラムの詳細については、ジョージア工科大学のリサーチャChuong Dongのブログをご覧ください。

Babuk Lockerについて特筆すべき点は、攻撃実行者が被害者との連絡手段にTorサイトを使用していることです。トレンドマイクロが確認した最初のサンプルでは、典型的な身代金要求のメールが標的に送信されていました。一方、次に発生したランサムウェアの亜種では、標的から盗み出したデータのスクリーンショットが攻撃実行者によってTorサイトに公開されていました。このような進化を見ると、Babuk Lockerの背後にいるグループがどのように脅迫手法を攻撃的なものにしているのかが分かります。

Babuk Lockerは他の既知のランサムウェアと似たところがあります。特に、身代金要求のメッセージはDarkSideが使用していたものと酷似しています。図1はBabukの身代金メッセージ(上)とDarkSideの身代金メッセージ(下)の比較です。これは、この2つのランサムウェアファミリが相互に関連している可能性があることを暗に示しています。技術に関しても、Babuk LockerはConti、Ryuk、Ragnar Lockerといった古いランサムウェアを手本にしているものと思われます。たとえば、これらの不正プログラムと同様に、Babuk Lockerが終了させるプロセスおよびサービスは、アプリケーション、バックアップソフトウェア、エンドポイントセキュリティ、およびサーバに関連するものです。こうした既知のランサムウェアが効果的に機能していることを考えると、Babuk Lockerがその技術を手本にするのも当然のことです。

図1.Babukの身代金メッセージ(上)とDarkSideの身代金メッセージ(下)

Babuk Lockerのリークサイトには多くの手掛かりがあります。たとえば、トレンドマイクロが確認したところ、リークサイトが最近変更され「Babuk」が「Babyk」という名前に変更になっていました。また、このサイトでは、Babuk Lockerの背後にいるグループは悪意がなく、組織におけるサイバーセキュリティの問題を公開することが目的であると主張されています。

図2.ランサムウェア名の変更(「Babuk」→「Babyk」)と不正プログラムの詳細の両方が示されているリークサイト

興味深いことに、グループの関心範囲から除外されている団体についても列挙されています。

図3.リークサイトに投稿されているBabukの攻撃から除外される組織の一覧

トレンドマイクロが確認した最新のサンプルは、Babukの3つ目のバージョンでした。このバージョンの身代金メッセージは、標的となった組織を名前で直接指定していました。これまで述べてきた活動状況を踏まえると、将来的にはおそらくこの不正プログラムより高度なものが現れると予想できます。

図4.このサンプルがBabukのバージョン3のものであることを示すBabuk Lockerのコード

システムセキュリティを無効化する可能性のあるTeslaCrypt

TeslaCryptは旧型のランサムウェアファミリで、2016年に活動停止し復号鍵が2016年に公開されています。そのためTeslaCryptは消滅したランサムウェアと考えられていましたが、現在新たな亜種が出現している模様です。現時点では十分な情報がないため、このランサムウェアが再び出現している理由は分かりません。また、トレンドマイクロはこのサンプルが単にTeslaCryptを模倣したものであるという可能性も考えています。

※ トレンドマイクロではRansom.MSIL.TESLACRYPT.THABGBAとして検出します。

この不正プログラムの特筆すべき特徴は、標的のセキュリティレベルを低下させることです。この不正プログラムはまずWindows Defenderを無効にした後で、約300件にも上るその他のサービス(デバッガやセキュリティ関連のアプリケーションなど)を停止します。この亜種の作成者が目的としているのは、被害者のシステム回復方法を制限することのようです。

1つのランサムウェアの亜種において、これほど多くのセキュリティ関連のプロセスおよびアプリケーションを終了する活動を行うのは極めて珍しいことです。

図5.ランサムウェアで終了されるセキュリティ関連のアプリケーションの一部を示すスクリーンショット

Maoloaの進化

ランサムウェアMaoloaが最初に発見されたのは2019年です。Maoloaは、2019年7月にルーマニアの病院への攻撃に使用された不正プログラムでもあります。また、従来のGlobeImposterランサムウェアにも関連しています。

トレンドマイクロが発見した新しいサンプルは、7-Zip SFXファイルにパッケージ化されています。この亜種には、certutil.exeおよびAutoitスクリプトという正規ツールも使用されていました。こうした追加の機能すべてが、以前の亜種で確認されていない検出回避の試みです。トレンドマイクロが発見した従来のMaoloaの亜種では、バイナリコードをパッケージ化せずそのまま使用していました。

※トレンドマイクロではRansom.Win32.MAOLOA.THAAHBAとして検出します。

図6.Maoloaランサムウェアがパッケージ化されているSFXファイルの実行

Maoloaランサムウェアのペイロードを保持する自己解凍形式のアーカイブが実行されると、4つのファイルがドロップされます(図6)。  

この4つのファイルの中にMaoloaランサムウェアがあり、解凍後に暗号化ルーチンが開始され、身代金メッセージがドロップされます。過去の亜種と同様に、今回解析したMaoloaのサンプルが暗号化したファイルに付加する拡張子は「.Globeimposter-Alpha865qqz」であり、これは従来のGlobeImposterランサムウェアとの関連を想起させます。

図7. Maoloaランサムウェアが暗号化したファイルに付与する拡張子と
身代金メッセージ(ランサムノート)ファイルの例

Among Usに偽装したCobraLocker

最後に、トレンドマイクロの特筆すべき発見であるCobraLockerの亜種をご紹介します。これは「Among Us」という人気のゲームに偽装してユーザをおびき寄せるランサムウェアであり、このランサムウェアで使用されるファイル名は「AmongUsHorrorEdition」です。

※トレンドマイクロではRansom.MSIL.COBRALOCKER.Bとして検出します。

図8.Among Usのあるバージョンに偽装したCobraLockerのファイル名

このランサムウェアが実行されると、ファイルの「ホラー」の側面に従ってイメージが実行され、「Do you want to play?」(プレイしますか)という文字が表示されます。次に、cmd.exe、regedit.exe、Process Hacker、および永続性を確保するためのレジストリの追加など、典型的な悪意のあるアクティビティが実行されます。

ランサムウェアからの攻撃を免れるには?

これまで説明してきたランサムウェアファミリを見ると、実行者は攻撃キャンペーンを確実に成功させるために不正プログラムに磨きをかけ続けていることが分かります。その手段として、要求に従うよう被害者に多大な圧力をかけることもあれば、検出から逃れるよう単純に悪意のあるアクティビティを隠蔽することもあります。

現在のランサムウェアは急速な変化を遂げています。法人組織がランサムウェア攻撃に対抗するには、ランサムウェアの進化の経緯や最新の傾向を理解して対策に活かす必要があります。

トレンドマイクロでは、昨今のランサムウェア攻撃動向とそれに対抗するために取るべき一般的な対策をまとめたリサーチペーパーを公開しています。最新のランサムウェア攻撃のトレンドを理解し、組織のセキュリティ対策に活かしてください。

ランサムウェアウェア最新動向 2021年版
リサーチペーパーのダウンロードはこちら

トレンドマイクロのソリューション

トレンドマイクロのセキュリティソリューションの中でもランサムウェアへの対策として推奨されるものを以下に示します。

法人向けのエンドポイント製品「Trend Micro Apex One™」や中小企業向けのクラウド型エンドポイントセキュリティサービス「ウイルスバスター™ビジネスセキュリティサービス」では、「FRS」技術によるウイルス検出と同時に、機械学習型検出や挙動監視機能(不正変更監視機能)の強化により、侵入時点で検出未対応のランサムウェアであっても警告可能です。

また「Trend Micro Apex One™」は事前防御(EPP)と事後対応(EDR)を統合し、高い防御力を実現します。また、クロスジェネレーション(XGen)セキュリティアプローチにより、高い検出率と誤検出/過検出の回避を両立しつつ、コンピュータへの負荷軽減を実現します。

Trend Micro XDR」は高度な分析と人工知能(AI)技術を使用して、エンドポイント、メール、ネットワークなどのアラートを相関させ、一つの防御ポイントの情報だけではわからないような脅威を可視化し、深刻度のレベルに応じて優先順位を付けます。これにより、企業は攻撃がどのように開始され、どの程度拡散しているかを迅速に把握でき、被害を最小化することができます。

■ 侵入の痕跡(Indicators of Compromise 、IoCs)

侵入の痕跡(Indicators of Compromise、IoCs)は、こちらを参照してください。

記事構成:高橋 哲朗(スレットマーケティンググループ)

The post 新種ランサムウェア解説:Seth-Locker、Babuk Locker、Maoloa、TeslaCrypt、CobraLocker first appeared on トレンドマイクロ セキュリティブログ.
cropPAK0I9A7880

Microsoft Authenticatorの偽拡張機能、Chromeウェブストアで見つかる

headless 曰く、

Microsoftの多要素認証アプリ「Microsoft Authenticator」の名前とアイコンを使用した偽のChrome拡張機能がChromeウェブストアで公開され、少なくとも1か月近く公開され続けていたそうだ(Ghacksの記事The Registerの記事Windows Centralの記事Neowinの記事)。

この拡張機能は開発者名がMicrosoftではなく「Extension」となっており、多要素認証機能は搭載されていないという。Ghacksが確認したところ、拡張機能は「run Microsoft Authenticator」というオプションのあるシンプルなページを表示し、ボタンをクリックするとポーランドのWebページが開いて別のサインイン/アカウント作成ページにリダイレクトされたそうだ。Ghacksが発見した時点のユーザー数は448人で、星3つとレーティングされている。レビューには偽物だと警告するものがある一方で、高評価の偽レビューらしきものもみられたとのこと。拡張機能は既にストアから削除されているが、最終更新日の4月23日から1か月近く見つからずにいたようだ。

Chromeウェブストアの開発者プログラムポリシーでは、他人になりすましたり、他人から許可を得たふりをしたりといった行為が禁じられている。なお、本物のMicrosoft AuthenticatorはAndroid/iOSアプリのみがそれぞれGoogle Play/App Storeで公開されており、拡張機能版は提供されていない。Internet Archiveのスナップショット(要JavaScript無効化)でChromeウェブストアの拡張機能のページを見ると、拡張機能の説明はApp StoreのMicrosoft Authenticatorアプリからコピーされたもので、つじつまの合わない説明になっている。MicrosoftはThe Registerに対し、Microsoft AuthenticatorのChrome拡張機能を提供したことはなく、怪しい拡張機能をChromeウェブストアで見つけたら報告するようユーザーに推奨したとのことだ。

すべて読む | セキュリティセクション | Chrome | Google | セキュリティ | マイクロソフト | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Microsoft Edgeアドオンサイト、人気ゲームの海賊版等をプレイできる拡張機能が多数見つかる 2021年02月15日
Google、マルウェア化したChrome拡張機能をリモートから無効化 2021年02月06日
新Microsoft Edgeのアドオンストア、人気拡張機能の偽物が複数見つかる 2020年11月24日
Microsoft、なりすまし動画などを検知するための技術を発表 2020年09月04日
Chromeウェブストアで怪しいサイトへ誘導しようとする「テーマ」が増加中 2018年05月30日
悪意あるコードを含む偽拡張機能、Chromeウェブストアで合計2,000万人以上がインストール 2018年04月21日

cropPAK0I9A7880

The Full Story of the Stunning RSA Hack Can Finally Be Told | WIRED

The Full Story of the Stunning RSA Hack Can Finally Be Told | WIRED

The Full Story of the Stunning RSA Hack Can Finally Be Told | WIRED

In 2011, Chinese spies stole the crown jewels of cybersecurity—stripping protections from firms and government agencies worldwide. Here’s how it happened. Amid all the sleepless hours that Todd Leetham spent hunting ghosts inside his company’s network in early 2011, the experience that sticks wit...

はてなブックマーク - The Full Story of the Stunning RSA Hack Can Finally Be Told | WIRED はてなブックマークに追加

cropPAK0I9A7880

カスタムURIスキームを利用して異なるWebブラウザーにわたりユーザー追跡を可能にする手法

headless 曰く、

カスタムURIスキームを利用することで、異なるWebブラウザーにわたるユーザーの追跡が可能になるという「scheme flooding」脆弱性をFingerprintJSが公開している(FingerprintJSのブログ記事Ghacksの記事HackReadの記事デモページ)。

この脆弱性はカスタムURIスキームを使用して外部プロトコルのハンドラー呼び出しを試みることで、Webサイトがユーザーのシステムに対応アプリがインストールされているかどうかを知ることが可能というものだ。カスタムURIスキームを利用するアプリのリストを生成することで、システムにインストールされた複数の異なるWebブラウザーで共通の識別子を生成できる。FingerprintJSでは影響を受けるブラウザーとしてデスクトップ版のTor Browser/Safari/Chrome/Firefoxを挙げているが、Chrome以外のChromiumベースブラウザーも影響を受けるとみられる。

ChromiumベースのブラウザーではカスタムURIスキーム実行時にダイアログボックスが表示され、ユーザーの意志に反したアプリケーションの起動を防ぐ仕組みが備わっているが、いったん内蔵PDFビューアーを起動するとこの仕組みがバイパスされる問題があるという。これについてはFingerprintJSがバグとして報告している。

FingerprintJSが公開しているデモでは24のアプリケーションに対応するカスタムURIスキームをチェックして24ビットの識別子を生成する。現在のところmacOSとWindowsにのみ対応しており、Linux上では正しく動作しない。

すべて読む | YROセクション | Chrome | Firefox | セキュリティ | Safari | インターネット | Chromium | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
全WiFiデバイスに影響する脆弱性「FragAttack」が公開される 2021年05月15日
Dellのファームウェア更新プログラムに同梱されていたドライバーに脆弱性、500以上のモデルに影響 2021年05月07日
バッファロー製Wi-Fiルーターに複数の脆弱性 サポート終了機器は早急に買い替えを 2021年04月30日
内閣府のファイル共有ストレージFileZenに不正アクセス、231人分の個人情報が流出か 2021年04月28日
NEC製ルーター「Aterm」シリーズ17機種に複数の脆弱性が報告される 2021年04月12日
小規模ウェブサイトの約1割はノーガード戦法 2021年04月12日
警察庁、サイバー攻撃に関する統計を発表。コロナ禍便乗やランサムウェア関連など 2021年03月09日
QNAP製NASの既知の脆弱性を狙った攻撃が発生、研究機関が修正版の適用を呼びかけ 2021年03月08日

h-heyerlein-ndja2LJ4IcM-unsplash

Introducing Firefox’s new Site Isolation Security Architecture – Mozilla Hacks – the Web developer blog

Introducing Firefox's new Site Isolation Security Architecture - Mozilla Hacks - the Web developer blog

Introducing Firefox's new Site Isolation Security Architecture - Mozilla Hacks - the Web developer blog

Like any web browser, Firefox loads code from untrusted and potentially hostile websites and runs it on your computer. To protect you against new types of attacks from malicious sites and to meet the security principles of Mozilla, we set out to redesign Firefox on desktop. Site Isolation builds ...

はてなブックマーク - Introducing Firefox's new Site Isolation Security Architecture - Mozilla Hacks - the Web developer blog はてなブックマークに追加

h-heyerlein-ndja2LJ4IcM-unsplash

5億円以上の身代金をランサムウェア攻撃を受けたパイプライン会社が支払ったことが判明 – GIGAZINE

5億円以上の身代金をランサムウェア攻撃を受けたパイプライン会社が支払ったことが判明 - GIGAZINE

5億円以上の身代金をランサムウェア攻撃を受けたパイプライン会社が支払ったことが判明 - GIGAZINE

ランサムウェア攻撃を受けて操業を停止していたアメリカ最大の石油パイプライン企業・Colonial Pipelineが、身代金として500万ドル(約5億4800万円)以上を支払ったことがわかりました。 Colonial Pipeline Paid Hackers Nearly $5 Million in Ransom - Bloomberg https://www.bloomberg.com/news/articles/2021-05-13/col...

はてなブックマーク - 5億円以上の身代金をランサムウェア攻撃を受けたパイプライン会社が支払ったことが判明 - GIGAZINE はてなブックマークに追加

museums-victoria-QSBm03YHtrI-unsplash

Apple純正の落とし物の正確な位置を教えてくれるトラッカー「AirTag」がハッキングされる – GIGAZINE

Apple純正の落とし物の正確な位置を教えてくれるトラッカー「AirTag」がハッキングされる - GIGAZINE

Apple純正の落とし物の正確な位置を教えてくれるトラッカー「AirTag」がハッキングされる - GIGAZINE

2021年4月21日に発売されたAppleの落とし物トラッカー「AirTag」が、セキュリティ研究者によりさっそくハッキングされました。 Security researcher hacks AirTag; modifies NFC URL for Lost Mode https://the8-bit.com/airtags-hacked-for-first-time/ AirTag hacked for the first time by security researcher [Vide...

はてなブックマーク - Apple純正の落とし物の正確な位置を教えてくれるトラッカー「AirTag」がハッキングされる - GIGAZINE はてなブックマークに追加

cropPAK0I9A7880

stacksmashing on Twitter: “Yesss!!! After hours of trying (and bricking 2 AirTags) I managed to break into the microcontroller of the AirTag!… https://t.co/8JqbBcak0L”

stacksmashing on Twitter: "Yesss!!! After hours of trying (and bricking 2 AirTags) I managed to break into the microcontroller of the AirTag!… https://t.co/8JqbBcak0L"

stacksmashing on Twitter: "Yesss!!! After hours of trying (and bricking 2 AirTags) I managed to break into the microcontroller of the AirTag!… https://t.co/8JqbBcak0L"

Yesss!!! After hours of trying (and bricking 2 AirTags) I managed to break into the microcontroller of the AirTag!… https://t.co/8JqbBcak0L

はてなブックマーク - stacksmashing on Twitter: "Yesss!!! After hours of trying (and bricking 2 AirTags) I managed to break into the microcontroller of the AirTag!… https://t.co/8JqbBcak0L" はてなブックマークに追加