マルウェア解析チュートリアル＜マルウェア解析のはじめかた編＞ | 調査研究 | MBSD

"アンチデバッグ（デバッグ検知）のプログラムを自分で作成し、それを解析する方法について手順を踏まえながら詳細に解説"

デバッガ使って戻り値改変を説明
かなり尖がったスキル解説！！https://t.co/dxJ5mqVPX2

— モグ｜セキュリティゼネラリスト (@moneymog) September 10, 2020

記事にするか悩みましたが、ニュースを見ていると、もやもやが残ったので、自身の言葉と解釈でまとめてみました。
はてなブログに投稿しました #はてなブログ
PayPayやメルペイは関係ないでいいんだっけ？ドコモ口座の不正送金問題を踏ま…https://t.co/8Xzj9kpIwu

— みっきー (@microkeyword) September 10, 2020

National Cyber Power Index 2020. 総合的なランキングで日本は9位。Defenseは強いが、IntelligenceやOffenseが弱い。今のところはアメリカが1位になってるけど、数年後は中国が全部1位になっているでしょうね。https://t.co/9lmcYRCrt2 pic.twitter.com/lEpMqvJ9nb

— 白船（田中ザック） (@yamatosecurity) September 11, 2020

これ！凄い！ワイの胃が痛むやつや（笑） / “インシデント対応ボードゲーム大学版 | トレンドマイクロ” https://t.co/lCEepi7zbS

— 上原 哲太郎/Tetsu. Uehara (@tetsutalow) September 11, 2020

日本向けは少なめですが、#フィッシングメール をポストしているブログを発見しましたので、共有します。

◆RSSフィード
hxxps://bilderupload.blogspot[.]com/feeds/posts/default pic.twitter.com/7PHz2ZgHGG

— ねこさん?(ΦωΦ) (@catnap707) September 11, 2020

所用のため拝聴できなかったのですが、資料めちゃめちゃ参考になりますね！

【資料公開】IIJ Technical NIGHT vol.9 | IIJ Engineers Blog https://t.co/ORUIrOgwru
#iij_its

— にゃん☆たく (@taku888infinity) September 11, 2020

おおう、銀行の認証ページ（answer parsol）つくってんのはNTTデータなのか....え、つまり、docomo vs 銀行(NTTデータ）ってこと...

— ken\d (@ken5scal) September 11, 2020

総務省｜サイバー攻撃に悪用されるおそれのあるIoT機器の調査（NOTICE）の取組強化https://t.co/L3EDtsUbyR

— Masafumi Negishi (@MasafumiNegishi) September 12, 2020

暗証番号分布。まず目につくのは xxyy 系。さすがに xxxx は簡単すぎると思うのか意外と薄い。6969 がなぜか大きい。ちょっとずれてるところに濃い点があるけどなんだろ、とおもったら5150。これヴァン・ヘイレンだろ。 pic.twitter.com/Ks96Tece7W

— 底灯天?徐嶺依 (@koteitan) September 12, 2020

『 残念ながらドコモ口座がサービスを止めたところで「何もしていないのに不正に出金される」「時々記帳しなければ不正出金に気付けない」といった預金者の不安は解消できません。口座から不正に出金できてしまう理由は、ドコモ口座ではなく、一部金融機関の口座振替登録の脆弱性にあるからです』 https://t.co/GNKbWjP5Rk

— piyokango (@piyokango) September 13, 2020

日立Sol、米Appvanceのテスト自動化ツール「Appvance IQ」を販売開始
https://t.co/lASzCiT3ND
https://t.co/EHxmNkyY2J

— セキュリティ・トレンド bot (@sec_trend) September 14, 2020

【人気記事】ドコモ口座、被害は2,542万円、120件に。最初の不正利用は'19年8月https://t.co/4HL9sWFzdO pic.twitter.com/J1NJo7JUhB

— Impress Watch (@impress_watch) September 14, 2020

インスタグラムで「自衛隊大好き！」っていう若い女性風のアカウントにフォローされても、自衛官は絶対フォローしてはいけませんよ。目的は個人情報の収集です。防大ＯＢ会&父兄会でもかなり問題になっていますので気をつけて下さい。 pic.twitter.com/22T17B3F9C

— ぱやぱやくん (@paya_paya_kun) September 13, 2020

これはかなりいいと思う
電車の時刻やバイト先など何気ない投稿から個人特定　ステイホームで利用者増加　SNSトラブル防止へ(三重テレビ放送)#Yahooニュースhttps://t.co/f1YPC0F0ji

— @SttyK (してぃーきっず) (@SttyK) September 14, 2020

Zerologon攻撃: ドメインユーザからドメイン管理者への権限昇格の深刻な脆弱性(CVSS 10)についての白書が公開されました。エクスプロイトコードは公開されていませんが、そのうちに誰か作って公開するでしょう。早めにドメインコントローラにパッチを適用して下さいね！！https://t.co/6AuROBa0Id

— 白船（田中ザック） (@yamatosecurity) September 14, 2020

So yes, Zerologon (CVE-2020-1472) is quite easy to exploit. Unauthenticated user to Domain Admin. This is really scary. Run exploit, DCSync with DC account and empty NT hash: you have Domain Admin and a broken DC.
Awesome find by Tom Tervoort ??. Patch patch patch! pic.twitter.com/XHRO7n50Qh

— Dirk-jan (@_dirkjan) September 14, 2020

『Microsoft Windows TCPIP Finger Command "finger.exe" that ships with the OS, can be used as a file downloader and makeshift C2 channel.』

Windows TCPIP Finger Command / C2 Channel and Bypassing Security Softwarehttps://t.co/WeXpMpj89f

— Autumn Good (@autumn_good_35) September 14, 2020

『現在稼働中の決済事業者で、当行の本人認証方法である2要素認証を未導入の8事業者※において、準備出来次第、速やかに以下のサービスを停止します』 / “決済事業者さまへのアカウントへの口座登録及びチャージ（入金）の一時停止について－ゆうちょ銀行” https://t.co/3PERaPdoYB

— 徳丸 浩 (@ockeghem) September 16, 2020

SBI証券に顧客口座に不正アクセス、6口座から9864万円流出??
①9月17日に顧客から連絡受け発覚
②第三者が本人確認書類偽造し名義一致する銀行口座を開設
③不正アクセス後に出金先を②で開設した不正口座に変更
④不正口座が開設されたのはゆうちょ銀、三菱UFJ銀 https://t.co/rAJIcYIlru

— piyokango (@piyokango) September 16, 2020

https://t.co/RZgpyjxc23 エクスプロイトの技術を鍛えたい方へ? #Pwn #CTF

— 白船（田中ザック） (@yamatosecurity) September 16, 2020

SBI証券、顧客資金9864万円が流出　偽口座に送金：日本経済新聞 https://t.co/ysfDD1UdYe

— piyokango (@piyokango) September 16, 2020

日本シーサート協議会、コロナ禍における「CSIRT対応プラクティス集」を公開

"「インシデントの検知」と「インシデントの対応」の2項目について、（略）課題解決に向けた方向性や実施手段例などをまとめている"

これは体制を見直すのに参考になる資料https://t.co/1Rywa4YQE4

— モグ｜セキュリティゼネラリスト (@moneymog) September 16, 2020

2020/09/17 7:45頃より、Emotet E3の日本語メールを確認しています。

返信型、パスワード付きzipを確認しています。

通信先は既に共有されているものです。 https://t.co/a3XMHATayC

— bom (@bomccss) September 16, 2020

Windows環境での横展開のロッギングチートシート https://t.co/54KHwKr3Ci

— 白船（田中ザック） (@yamatosecurity) September 16, 2020

ゆうちょ銀行が不正出金問題で会見、109件1811万円の被害が明らかに
- xtech.nikkei (2020/09/17)https://t.co/Us6y2RgymV

— 一般社団法人セキュリティ対策推進協議会 (@spread_jp) September 17, 2020

二段階認証で防がれているけれども「攻撃者が有効なID・パスワードの組み合わせを把握しているという事実に相違はございませんので」として該当者に告知し注意喚起、パスワード初期化の実施。

今ゆうちょ銀行とイオン銀行その他被害のあった地銀が為すべきことはこれだ。https://t.co/YJJ96Vu7bV

— Hiromitsu Takagi (@HiromitsuTakagi) September 17, 2020

研究開発部門「サイバー・グリッド・ジャパン」が制作した、企業経営者向けレポート最新号「CYBER GRID JOURNAL Vol.10」を公開しました。今号のテーマは「SDGs」と人材育成。コロナ禍での教育や情報モラルについても考えます。https://t.co/wviuRoXztQ#ラック #セキュリティ #情報モラル #SDGs

— ラック公式 (@lac_security) September 17, 2020

企業向けフィッシング攻撃の模擬演習サービス「F-Secure Phishd」

"主な特徴としては「フルカスタマイズのトレーニングサービス」「最新の事例と傾向に即した攻撃」「専門知識に裏付けられた理論」の3点"

最近Emotetとかでメール訓練のニーズが増えたりしたんですかねhttps://t.co/LziCA9fgfu

— モグ｜セキュリティゼネラリスト (@moneymog) September 16, 2020

CODE BLUE 講演内容など公開されました。 / 日本最大級のセキュリティ国際会議CODE BLUE、全講演者を発表　～10月29日・30日開催、2020年は完全オンライン～｜CODE BLUE実行委員会のプレスリリース https://t.co/vYZAN60qOn

— Yosuke HASEGAWA (@hasegawayosuke) September 17, 2020

ドメインコントローラーを脅かす脆弱性「Zerologon」 @kaspersky_japan https://t.co/ynfaOYTgkr

— piyokango (@piyokango) September 17, 2020

フィッシング詐欺、テイクダウンのノウハウ共有。まずは個人的活動として、Qiitaに記事を投稿しています。https://t.co/zB778iHP13 #secdogo

— Noriaki Hayashi (@v_avenger) September 17, 2020

OSCP受験記(2020年9月15日) - Hacking Blog https://t.co/Kvg3Oh1H8U

注意点とか自分がやらかしてしまった点とか簡潔に書いてあって読みやすい。めっちゃ参考になります ??

— ほよたか (@takahoyo) September 17, 2020

悪意のある第三者による不正アクセスに関するお知らせ
岡三オンライン証券株式会社
2020年9月18日https://t.co/zRk5RgoEld

— piyokango (@piyokango) September 18, 2020

https://t.co/eMnjF62r7p
「ゆうちょ銀行が「サービス事業者の了解が得られないのでセキュリティ強化が進まなかった」と述べているが、サービス事業者側では「セキュリティ強化の裁量はゆうちょ銀行にあるのに、なぜわれわれの了解が必要でそれが原因と責任転嫁をするのか」と嘆いている構図だ」

— Hiromitsu Takagi (@HiromitsuTakagi) September 18, 2020

まだ斜め読みだが、これはあかんのではないか。https://t.co/pSlca0GoaE

— Hiromitsu Takagi (@HiromitsuTakagi) September 18, 2020

RDPは「Ransomware Deployment Protocol」の略らしいです。。　間違ってはいない・・

— 白船（田中ザック） (@yamatosecurity) September 18, 2020

「CrackMapExec」ツールの破壊力が凄すぎて、なんで今まで知らなかったんだろうってなっている。
いわゆる、全部入りってやつ。https://t.co/MYRmdkLu5Y

— Noriaki Hayashi (@v_avenger) September 18, 2020

仕方がないとはいえ、インターネットセキュリティの敗北感がありますね / “ネット証券各社、ウェブでの出金口座変更停止　ＳＢＩ資金流出受け：時事ドットコム” https://t.co/A0Obms8cTC

— 徳丸 浩 (@ockeghem) September 18, 2020

ミミミカッツで lsadump::zerologon /exploit して lsadump::dcsync で krbtgt 抜いて GoldenTicket まで数秒とか、そりゃビックリですわな?? (Zerologon 今週のハイライト)

— Neutral8?9eR (@0x009AD6_810) September 18, 2020

そもそも、初期認証において2要素を使うことは不可能だ。なぜなら、have用デバイスを登録する処理なのでhaveを使うことはできず、areはリモートに登録することが論外。

2要素認証だの多要素認証だのを金科玉条のごとく讃えることが実にナンセンスで馬鹿げた議論だということが言える。

— Hiromitsu Takagi (@HiromitsuTakagi) September 19, 2020

mimikatz Zerologon
1?lsadump::zerologon /exploit
2?lsadump::dcsync でkrbtgt資格情報抜き
3?lsadump::dcsync でAdministrator資格情報抜き
4?sekurlsa::pth でAdministratorへPtH
5?lsadump::postzerologon で正常状態戻し
6?kerberos::golden でGoldenTicket作成
7?kerberos::ptt でDA侵害永続化 pic.twitter.com/7hywgIhego

— Neutral8?9eR (@0x009AD6_810) September 20, 2020