ブログとストーリー

SpiderLabsブログ

年間50万人以上の読者を魅了しているブログがセキュリティ コミュニティの主要目的地になっているのは、最新の脅威の技術的な分析、重要な脆弱性に関する開示、最先端の研究が掲載されているからです。

強要、幻想、および回避のスパムマスター

2018年、サイバー犯罪者が被害者のコンピュータをハッキングまたはマルウェアに感染させたことを電子メールで被害者に知らせた、6件の詐欺行為が発生しました。あるいは、加害者は、被害者が性的行為を行った、または自分のコンピュータに性的内容の違法なファイルを持っているという個人的な記録の形で証拠を入手しました。その後、詐欺師は、一定期間内に身代金要求が暗号通貨(ビットコイン)で支払われない限り、被害者を公に公開すると脅迫しました。

BEC 攻撃による高度な詐欺

「CEO 詐欺」または「ホエーリング」とも呼ばれる BEC(Business Email Compromise: ビジネス電子 メール侵害)電子メール詐欺は、世界中のあらゆる規模の企業に影響を与える重要な金融サイバ ー脅威になっています。

Firework: ペネトレーション(侵入)テストで Microsoft Workspace を利用する

WCX ファイルを使用すれば、数回のクリックでシステム上に Microsoft Workplace を設定すること ができます。登録プロセスは、NetNTLM ハッシュの形でクレデンシャルを開示することができま す。認証は、古いバージョンの Windows では自動的に行われるか、ユーザーに最新の認証情報 が要求されます。Workplace は、幅広いソーシャルエンジニアリングキャンペーンの一環として、さ らに兵器化される可能性があります。

パスワード保護された Word 文書が HERMES ランサム ウェアを運ぶ

AV による検出の回避は、スパムキャンペーンを実施するマルウェア作成者のルーチン作業の一 部です。これを達成する以前からの効果的な方法は、パスワードで保護されたドキュメントをスパ ムすることです。最近、このようなパスワードで保護された文書がスパムアウトされていることがわ かりました。さらに悪いことに、その中身はランサムウェアでした。

銀行向けマルスパムの再来

FlawedAmmyy RAT に誘導する Microsoft Publisher ファイルを含むいくつかの悪質なスパムメー ルについて先週書きました。キャンペーンのアクター(犯人)は銀行を標的にしていました。

顔認識を用いたソーシャルメディアマッピング: ペネトレー ションテスターとレッドチームのための新しいツール

インテリジェンスの収集は時間がかかるプロセスです。通常、さまざまなソーシャルメディアサイト で人のオンラインプレゼンスを見つけることから始めます。これは比較的簡単な作業ですが、大規 模に行うとなると非常に面倒になります。しかし、これが数百人または数千人というような単位で、 大規模に自動化されて実行されるとすればどうでしょうか?

CVE-2018-2892 - Oracle Solaris におけるカーネルレベル 特権エスカレーション

最近発表した Trustwave アドバイザリー(勧告)で詳述していますが、Trustwave は、Oracle Solaris 10/11 のすべてのバージョンにおいてローカルで悪用可能な問題を発見しました。この問 題はカーネルに存在し、ローカルシステムに Sun StorageTek Availability Suite(AVS)が設定され ている場合、特権を持たないユーザーとしてローカルに悪用されます。

悪意のある SettingContent が PDF で配信される

最近、ファイルタイプ SettingContent が Microsoft Office ドキュメントに埋め込まれた場合に、ど のように悪用されるかという概念実証(PoC)が報告されています。SettingContent は Windows 10 の機能で、さまざまなシステム設定のショートカットとして機能します。この正当な例

Reprise ライセンスマネージャーにおけるパッチ非適用での リモートコード実行

最近のペネトレーション(侵入)テストにおいて、自然に私の目にとまった非標準ポート 5054 で実行される、興味深い RLM と呼ばれる Web アプリケーションに遭遇しました。ちょっとした ことで、私はサーバー上でコードを実行できる重大な脆弱性を特定することができ、最終的に は完全なドメイン侵害につながるものです。

JA3 による暗号化されたネットワークトラフィックの検査

セキュリティ研究者としての私たちの仕事の一部は、悪意のある、または許可されていない活 動を監視するために使用される新しいツールやテクニックに追いついていくことです。強力な 暗号化は、プライバシとアクセス制御を必要とする重要なセキュリティ基盤ですが、もちろん犯 罪者も自分の活動を隠すために暗号化を活用しています。ネットワークについて考えると、セ キュリティのための非常に重要なプライバシーを壊すことなく、悪意のある行為について暗号 化されたトラフィックを監視する方法を考えることは、古くからの課題です。

地下社会の行動規範

"We are all honorable men here, we do not have to give each other assurances as if we were lawyers." ― Mario Puzo, The Godfather In the seedy depths of the dark web you will find an underground subculture brimming...

「Drupalgeddon2」の最近の動向

人気の高いコンテンツ管理システムであるDrupalは、(おそらく)これまで良い日々を過ごしてきました。しかし最近、厄介なリモートコード実行(RCE)の脆弱性に関して注目されています。特に、7.xおよび8.xファミリのDrupalバージョンのビルドでは、認証されていないRCEが完全なシステム侵害につながる可能性があります。

WD My Cloud EX2 が誰にでもファイルを提供できてしまう

Western Digital の My Cloud は、ユーザーが重要な文書、写真、メディアファイルをバックアッ プおよび保存できる人気のストレージ/バックアップデバイスです。 残念ながら、新しい My Cloud EX2 ドライブのデフォルト設定では、認証されていないローカルネットワークユーザが、 HTTP リクエストを使用してデバイスからファイルを取得できてしまいます。 これは、デバイス の電源がオンになると自動的に起動される UPnP メディアサーバーによるものです。 デフォル トでは、認証されていないユーザーが、所有者または管理者が設定した権限または制限を完 全に迂回してデバイスからファイルを取得できてしまいます。

セキュリティ回避のために IPv6 を使用する

私たちがクライアント組織に対してペネトレーションテストを実施した際に、IPv4 インフラストラ クチャに対する堅牢な警戒体制を目の当たりにすることがあります。彼らはサービスを厳重に 固め、ホストベースのファイアウォールを使用し、一般的にはセキュリティガイドラインのベスト プラクティスに従っています。しかしこのような組織でも、時折 IPv6 を認識していないことがあ ります。IPv6 を明示的には使用していないものの、ほとんど全ての現代的なシステムでは IPv6 はデフォルトで有効になっており、興味深い攻撃方法を攻撃者に提供してしまうケースが あります。

接続を維持する


購読する

Trustwaveの最新のセキュリティ ニュースやトレンドの情報を受け取る場合は、ご登録してください。

スパムではありません。いつでも登録を解除できます。


トレンドになっているテーマ