2020/9/21 セキュリティ関連Twitterメモ
マルウェア解析チュートリアル<マルウェア解析のはじめかた編> | 調査研究 | MBSD
— モグ|セキュリティゼネラリスト (@moneymog) September 10, 2020
"アンチデバッグ(デバッグ検知)のプログラムを自分で作成し、それを解析する方法について手順を踏まえながら詳細に解説"
デバッガ使って戻り値改変を説明
かなり尖がったスキル解説!!https://t.co/dxJ5mqVPX2
記事にするか悩みましたが、ニュースを見ていると、もやもやが残ったので、自身の言葉と解釈でまとめてみました。
— みっきー (@microkeyword) September 10, 2020
はてなブログに投稿しました #はてなブログ
PayPayやメルペイは関係ないでいいんだっけ?ドコモ口座の不正送金問題を踏ま…https://t.co/8Xzj9kpIwu
National Cyber Power Index 2020. 総合的なランキングで日本は9位。Defenseは強いが、IntelligenceやOffenseが弱い。今のところはアメリカが1位になってるけど、数年後は中国が全部1位になっているでしょうね。https://t.co/9lmcYRCrt2 pic.twitter.com/lEpMqvJ9nb
— 白船(田中ザック) (@yamatosecurity) September 11, 2020
これ!凄い!ワイの胃が痛むやつや(笑) / “インシデント対応ボードゲーム大学版 | トレンドマイクロ” https://t.co/lCEepi7zbS
— 上原 哲太郎/Tetsu. Uehara (@tetsutalow) September 11, 2020
日本向けは少なめですが、#フィッシングメール をポストしているブログを発見しましたので、共有します。
— ねこさん?(ΦωΦ) (@catnap707) September 11, 2020
◆RSSフィード
hxxps://bilderupload.blogspot[.]com/feeds/posts/default pic.twitter.com/7PHz2ZgHGG
所用のため拝聴できなかったのですが、資料めちゃめちゃ参考になりますね!
— にゃん☆たく (@taku888infinity) September 11, 2020
【資料公開】IIJ Technical NIGHT vol.9 | IIJ Engineers Blog https://t.co/ORUIrOgwru
#iij_its
おおう、銀行の認証ページ(answer parsol)つくってんのはNTTデータなのか....え、つまり、docomo vs 銀行(NTTデータ)ってこと...
— ken\d (@ken5scal) September 11, 2020
総務省|サイバー攻撃に悪用されるおそれのあるIoT機器の調査(NOTICE)の取組強化https://t.co/L3EDtsUbyR
— Masafumi Negishi (@MasafumiNegishi) September 12, 2020
暗証番号分布。まず目につくのは xxyy 系。さすがに xxxx は簡単すぎると思うのか意外と薄い。6969 がなぜか大きい。ちょっとずれてるところに濃い点があるけどなんだろ、とおもったら5150。これヴァン・ヘイレンだろ。 pic.twitter.com/Ks96Tece7W
— 底灯天?徐嶺依 (@koteitan) September 12, 2020
『 残念ながらドコモ口座がサービスを止めたところで「何もしていないのに不正に出金される」「時々記帳しなければ不正出金に気付けない」といった預金者の不安は解消できません。口座から不正に出金できてしまう理由は、ドコモ口座ではなく、一部金融機関の口座振替登録の脆弱性にあるからです』 https://t.co/GNKbWjP5Rk
— piyokango (@piyokango) September 13, 2020
日立Sol、米Appvanceのテスト自動化ツール「Appvance IQ」を販売開始
— セキュリティ・トレンド bot (@sec_trend) September 14, 2020
https://t.co/lASzCiT3ND
https://t.co/EHxmNkyY2J
【人気記事】ドコモ口座、被害は2,542万円、120件に。最初の不正利用は'19年8月https://t.co/4HL9sWFzdO pic.twitter.com/J1NJo7JUhB
— Impress Watch (@impress_watch) September 14, 2020
インスタグラムで「自衛隊大好き!」っていう若い女性風のアカウントにフォローされても、自衛官は絶対フォローしてはいけませんよ。目的は個人情報の収集です。防大OB会&父兄会でもかなり問題になっていますので気をつけて下さい。 pic.twitter.com/22T17B3F9C
— ぱやぱやくん (@paya_paya_kun) September 13, 2020
これはかなりいいと思う
— @SttyK (してぃーきっず) (@SttyK) September 14, 2020
電車の時刻やバイト先など何気ない投稿から個人特定 ステイホームで利用者増加 SNSトラブル防止へ(三重テレビ放送)#Yahooニュースhttps://t.co/f1YPC0F0ji
Zerologon攻撃: ドメインユーザからドメイン管理者への権限昇格の深刻な脆弱性(CVSS 10)についての白書が公開されました。エクスプロイトコードは公開されていませんが、そのうちに誰か作って公開するでしょう。早めにドメインコントローラにパッチを適用して下さいね!!https://t.co/6AuROBa0Id
— 白船(田中ザック) (@yamatosecurity) September 14, 2020
So yes, Zerologon (CVE-2020-1472) is quite easy to exploit. Unauthenticated user to Domain Admin. This is really scary. Run exploit, DCSync with DC account and empty NT hash: you have Domain Admin and a broken DC.
— Dirk-jan (@_dirkjan) September 14, 2020
Awesome find by Tom Tervoort ??. Patch patch patch! pic.twitter.com/XHRO7n50Qh
『Microsoft Windows TCPIP Finger Command "finger.exe" that ships with the OS, can be used as a file downloader and makeshift C2 channel.』
— Autumn Good (@autumn_good_35) September 14, 2020
Windows TCPIP Finger Command / C2 Channel and Bypassing Security Softwarehttps://t.co/WeXpMpj89f
『現在稼働中の決済事業者で、当行の本人認証方法である2要素認証を未導入の8事業者※において、準備出来次第、速やかに以下のサービスを停止します』 / “決済事業者さまへのアカウントへの口座登録及びチャージ(入金)の一時停止について-ゆうちょ銀行” https://t.co/3PERaPdoYB
— 徳丸 浩 (@ockeghem) September 16, 2020
SBI証券に顧客口座に不正アクセス、6口座から9864万円流出??
— piyokango (@piyokango) September 16, 2020
①9月17日に顧客から連絡受け発覚
②第三者が本人確認書類偽造し名義一致する銀行口座を開設
③不正アクセス後に出金先を②で開設した不正口座に変更
④不正口座が開設されたのはゆうちょ銀、三菱UFJ銀 https://t.co/rAJIcYIlru
https://t.co/RZgpyjxc23 エクスプロイトの技術を鍛えたい方へ? #Pwn #CTF
— 白船(田中ザック) (@yamatosecurity) September 16, 2020
SBI証券、顧客資金9864万円が流出 偽口座に送金:日本経済新聞 https://t.co/ysfDD1UdYe
— piyokango (@piyokango) September 16, 2020
日本シーサート協議会、コロナ禍における「CSIRT対応プラクティス集」を公開
— モグ|セキュリティゼネラリスト (@moneymog) September 16, 2020
"「インシデントの検知」と「インシデントの対応」の2項目について、(略)課題解決に向けた方向性や実施手段例などをまとめている"
これは体制を見直すのに参考になる資料https://t.co/1Rywa4YQE4
2020/09/17 7:45頃より、Emotet E3の日本語メールを確認しています。
— bom (@bomccss) September 16, 2020
返信型、パスワード付きzipを確認しています。
通信先は既に共有されているものです。 https://t.co/a3XMHATayC
Windows環境での横展開のロッギングチートシート https://t.co/54KHwKr3Ci
— 白船(田中ザック) (@yamatosecurity) September 16, 2020
ゆうちょ銀行が不正出金問題で会見、109件1811万円の被害が明らかに
— 一般社団法人セキュリティ対策推進協議会 (@spread_jp) September 17, 2020
- xtech.nikkei (2020/09/17)https://t.co/Us6y2RgymV
二段階認証で防がれているけれども「攻撃者が有効なID・パスワードの組み合わせを把握しているという事実に相違はございませんので」として該当者に告知し注意喚起、パスワード初期化の実施。
— Hiromitsu Takagi (@HiromitsuTakagi) September 17, 2020
今ゆうちょ銀行とイオン銀行その他被害のあった地銀が為すべきことはこれだ。https://t.co/YJJ96Vu7bV
研究開発部門「サイバー・グリッド・ジャパン」が制作した、企業経営者向けレポート最新号「CYBER GRID JOURNAL Vol.10」を公開しました。今号のテーマは「SDGs」と人材育成。コロナ禍での教育や情報モラルについても考えます。https://t.co/wviuRoXztQ#ラック #セキュリティ #情報モラル #SDGs
— ラック公式 (@lac_security) September 17, 2020
企業向けフィッシング攻撃の模擬演習サービス「F-Secure Phishd」
— モグ|セキュリティゼネラリスト (@moneymog) September 16, 2020
"主な特徴としては「フルカスタマイズのトレーニングサービス」「最新の事例と傾向に即した攻撃」「専門知識に裏付けられた理論」の3点"
最近Emotetとかでメール訓練のニーズが増えたりしたんですかねhttps://t.co/LziCA9fgfu
CODE BLUE 講演内容など公開されました。 / 日本最大級のセキュリティ国際会議CODE BLUE、全講演者を発表 ~10月29日・30日開催、2020年は完全オンライン~|CODE BLUE実行委員会のプレスリリース https://t.co/vYZAN60qOn
— Yosuke HASEGAWA (@hasegawayosuke) September 17, 2020
ドメインコントローラーを脅かす脆弱性「Zerologon」 @kaspersky_japan https://t.co/ynfaOYTgkr
— piyokango (@piyokango) September 17, 2020
フィッシング詐欺、テイクダウンのノウハウ共有。まずは個人的活動として、Qiitaに記事を投稿しています。https://t.co/zB778iHP13 #secdogo
— Noriaki Hayashi (@v_avenger) September 17, 2020
OSCP受験記(2020年9月15日) - Hacking Blog https://t.co/Kvg3Oh1H8U
— ほよたか (@takahoyo) September 17, 2020
注意点とか自分がやらかしてしまった点とか簡潔に書いてあって読みやすい。めっちゃ参考になります ??
悪意のある第三者による不正アクセスに関するお知らせ
— piyokango (@piyokango) September 18, 2020
岡三オンライン証券株式会社
2020年9月18日https://t.co/zRk5RgoEld
https://t.co/eMnjF62r7p
— Hiromitsu Takagi (@HiromitsuTakagi) September 18, 2020
「ゆうちょ銀行が「サービス事業者の了解が得られないのでセキュリティ強化が進まなかった」と述べているが、サービス事業者側では「セキュリティ強化の裁量はゆうちょ銀行にあるのに、なぜわれわれの了解が必要でそれが原因と責任転嫁をするのか」と嘆いている構図だ」
まだ斜め読みだが、これはあかんのではないか。https://t.co/pSlca0GoaE
— Hiromitsu Takagi (@HiromitsuTakagi) September 18, 2020
RDPは「Ransomware Deployment Protocol」の略らしいです。。 間違ってはいない・・
— 白船(田中ザック) (@yamatosecurity) September 18, 2020
「CrackMapExec」ツールの破壊力が凄すぎて、なんで今まで知らなかったんだろうってなっている。
— Noriaki Hayashi (@v_avenger) September 18, 2020
いわゆる、全部入りってやつ。https://t.co/MYRmdkLu5Y
仕方がないとはいえ、インターネットセキュリティの敗北感がありますね / “ネット証券各社、ウェブでの出金口座変更停止 SBI資金流出受け:時事ドットコム” https://t.co/A0Obms8cTC
— 徳丸 浩 (@ockeghem) September 18, 2020
ミミミカッツで lsadump::zerologon /exploit して lsadump::dcsync で krbtgt 抜いて GoldenTicket まで数秒とか、そりゃビックリですわな?? (Zerologon 今週のハイライト)
— Neutral8?9eR (@0x009AD6_810) September 18, 2020
そもそも、初期認証において2要素を使うことは不可能だ。なぜなら、have用デバイスを登録する処理なのでhaveを使うことはできず、areはリモートに登録することが論外。
— Hiromitsu Takagi (@HiromitsuTakagi) September 19, 2020
2要素認証だの多要素認証だのを金科玉条のごとく讃えることが実にナンセンスで馬鹿げた議論だということが言える。
mimikatz Zerologon
— Neutral8?9eR (@0x009AD6_810) September 20, 2020
1?lsadump::zerologon /exploit
2?lsadump::dcsync でkrbtgt資格情報抜き
3?lsadump::dcsync でAdministrator資格情報抜き
4?sekurlsa::pth でAdministratorへPtH
5?lsadump::postzerologon で正常状態戻し
6?kerberos::golden でGoldenTicket作成
7?kerberos::ptt でDA侵害永続化 pic.twitter.com/7hywgIhego