新種マルウェアを発見。名づけて「Linux/GoARM.Bot」にしました。
私達は今日新種マルウェアを発見しました。名づけて「Linux/GoARM.Bot」にしました。 本マルウェアはELF/ARM系のマルウェアですが、ARMルーター商品感染専用のマルウェアである。 マルウェアサンプルをVirusTotalにアップロードしましたので、リンクは下記となります↓...
View Articlebash 0dayマルウェア感染の「real time」リバースエンジニアリング
ゼロデイが出るといつも大忙し。 特にリバースエンジニアリングの僕らの手が回らない状態です。 《一日目》 CVE-2014-6271(bash 0day)の発表後24時間以内にMalwareMustDieのチームメートから連絡があり、私が調査してマルウェア感染攻撃を発見しました。 https://t.co/CO9AOtHglO Shit is real now. First in-wild...
View Article新型「Mayhem Shellshock」のLinuxマルウェア感染について
Shellshockでのマルウェア感染について、本問題が未だ続いております。ELF、Perlと「shell script」新しい感染仕組みをほぼ毎日発見します。二日前に新型「MAYHEM」(メイヘム)ボットネットマルウェアの感染仕組みを発見しましたので、この記事で報告します。 「Mayhem」とはどんな物か。このリファレンスで確認が出来ます→ 《1》 《2》 《3》...
View Article【研究情報】 ELFマルウェアの研究について
Windowsマルウェア研究の内容はインターネットで沢山公開されていますが、ELFマルウェアのリファレンスは少ないですね。 最近はほぼ「Microsoft...
View Article【警告】新規Linux/Mayhemマルウェアの感染
下記のIPアドレスからLinux/Mayhemマルウェアの感染動きを発見、wordpressのサイトが狙われています。...
View Article【警告】 Linux/Xor.DDoSマルウェアの感染
下記のIPアドレスから↓ 104.143.5.15||36114 | 104.143.0.0/20 | VERSAWEB-ASN | US | versaweb.com | Versaweb LLC 107.182.141.40|40-141-182-107-static.reverse.queryfoundry.net.|62638 | 107.182.140.0/23 |...
View Article【研究情報】暗号化されているマルウェアデータが何とかPythonで…
ElasticsearchのCVE-2015-1427脆弱性を狙っているマルウェアの調査をしました、書いたレポートは下記のURLに確認が出来ます。この記事の参考として後でご覧下さい↓ http://blog.malwaremustdie.org/2015/06/mmd-0034-2015-new-elf.html...
View Article「Linux/AES.DDoS」MIPS/ARMルーターマルウェア感染攻撃
日本国内の某ルーターに下記のsshログイン攻撃が沢山来ました↓ [attacker: 61.139.5.22] [2015-07-03 02:54:44]: New connection: 61.139.5.22:63692 [attacker: 61.139.5.22] [2015-07-03 02:54:54]: Connection lost [attacker: 61.139.5.22]...
View Article【研究情報】 KINS v2 = ZeusVM v2だぞ
先週末にやった事、KINS/ZeusVM 2.0.0.0マルウェアビルダー+パネルコードがリークされ、全世界に警告を流しました。 KINS1とKINS2のバイナリー形が全然違うし、分析したらマルウェアの機能も違うので、 どう見てもZeusVM++っぽいと考えています。...
View Article#OCJP-127: 「Shellshock」攻撃事件、日本国内40件以上の感染、Perlバックドアshellbotマルウェア
「Shellshock」攻撃が未だ沢山発見し、その攻撃からマルウェアに感染されたマシンも多いです。 本事件はその事件の報告ですので、本事件に感染されたマルウェアが多くて、 IRの対応参考情報と国内セキュリティの注意点為このブログに書きました。 ついさっき下記のshellshock攻撃が来ました↓ フルログはこちら⇒【pastebin】 「Shellshock」攻撃元のIP↓ { "ip":...
View Article#OCJP-128: ロシア系マルウェアボットネットのカムバック
以前の0day.jp記事にも日本国内に対して「Kelihosマルウェア・ボットネット」の感染を報告しましたが 今回このロシア系マルウェア感染ボットネットが「カムバック」しましたので、 今日我々「MalwareMustDie」が12時間モニターしたら、日本国内の感染IP11件を発見しました。...
View Article【イベント】 ELFマルウェア解析ワークショップ - AVTOKYO 2015
平成27年11月14日の16時半から「AVTOKYO 2015」のイベントでELFマルウェア解析ワークショップを開きました。ELFバイナリーについてのマルウェアの調査・解析の話ばかりなのでワークショップのタイトルは「Swimming in the Sea of...
View ArticleELF Linuxランサムウェア:復号機能の解析メモ #reversing
《 ELFマルウェアワークショップの方々へ 》 AVTOKYO-2015でELFマルウェアワークショップ「Swimming in the Sea of ELF」を開催しました。来てくれた皆さんに有難う御座いました。丁度最近Linuxランサムウェアが流行ったので、ワークショップ上でunix...
View Article【警告】ランサムウェアによるウェブサイトの暗号化
現在グーグルで検索したら6,000以上のウェブサイトがLinuxランサムウェアに感染されたそうです。 今すぐにウェブサイトのデータをバックアップして下さい。
View Articleマルウェアサンプルを送りたい場合
0day.jp又はMalwareMustDieに匿名でマルウェアのサンプルを送りたいだったら【このリンク】から「ファイル送る便」のアクセスが出来ます。「ファイル送る便」ページから私達にマルウェアサンプルを送る事が出来ます。 ページの画像は下記のようになっております↓ アップロードの手順が書いてあります。手順通りで作成をさせて頂ければ私達の調査サーバ迄にファイルが届きます。...
View Article#OCJP-129: Lockyランサムウェアの感染 via 日本国内のハッキングされたウェブサイト
昨日から始まり、日本国内のウェブサイトがハッキングされ、そしてそのサイトにLockyランサムウェアのバイナリーを発見しました。いくつか証拠をオンラインで見たら狙われている脆弱性がばらばらで、恐らくハッカーはウェブ脆弱性スキャナーを使ったと考えています。 Lockyランサムウェアの最終感染キャンペーンで日本ウェブサイトからの感染URLが現在2番目となります↓ 最新情報の更新>...
View ArticleLockyランサムウェア: インフェックション仕組みのモニタリング・レコード
「カムバック」してからのLockyランサムウェアの感染をフォローし、ディストリビューション仕組みのデータをレコードしました。レコードしたのデータは日本国内に届いたスパムメールのみです。 レコードの目的は(1)ウェブサイトのハッキング攻撃モニター、(2)CNCの移動情報、(3)使われているスパムボットネットの動き、と、(4)LockyのDGAのモニター...
View Article#OCJP-130: スパムボットに感染されたPCからのスパムメール(マルウェアurl)
昨日このスパムメールが届きました そのメールを見たら、あれ?「JCOM」って「ZAQ.ne.jp」だっけ?とても怪しい… さらに内容も英文で、そして海外のマルウェア転送URLが書いてあります… ヘッターはこんな感じ↓ メールのルーティングと MessageID<201607041021.u64AKeew025468@po.dcn.ne.jp>...
View Article#OCJP-131: 日本国内で悪用された「DNSアンプ攻撃」について
■はじめに まず、「DNSアンプ攻撃」が分からない方はこちらをご覧下さい。そしてDNS「オープンリゾルバ/Open Resolvers」についてはこちらのリンクに纏めて説明しています。 「DNSアンプ攻撃」と「オープンリゾルバ」の関係は↓ Open Resolvers pose a significant threat to the global network infrastructure by...
View Article#OCJP-132: Linux IoTのマルウェア、国内の感染について
■はじめに Linux IoTマルウェアについて、僕が書いている英語のブログ/MalwareMustDieで最近結構研究しています。色んなマルウェア種類を発見し、そのマルウェアの感染目的は殆どボットネット、DDoS、ハッキング踏み台、スパムのプロキシ、など。...
View Article#OCJP-133: Hancitorマルウェア感染 と ハッキングされたWordpress
■はじめに 今回は新しいマルウェアにハッキングされたWordpressサイトの報告を致します。 恐らく2017年1月25日から、Wordpressで作られたウェブサイト/ブログのハッキング事件が沢山発見されております。...
View Article#OCJP-134: ダブル「sh」ELFのリバーシング (Linuxハッキング事件調査)
■はじめに 今回Linuxのハッキング事件のレポートを書かせて頂きます。 内容的には「Linux OS x86」、「ELFバイナリリバーシング」と「シェルコード」の絡みとなります。 この記事を読むだけでもOKですし、もし再現したい場合ASM、gccとLinuxリバーシングのノウハウが必要だと思います。環境的にLinuxのシェルですので解析は全てradare2でやりました。...
View Article#OCJP-135: SSH TCP ポートフォワーディング経由でのSMTP(とHTTP)ハッキング事件について
昨日、「MalwareMustDie」のブログで昨年10月からの SSH での TCP フォワーディングを使うハッキングの仕組みを 報告しました。 SSHでのTCPポートフォワーディングとは日本語では「SSHでのポートフォワーディング」ですね。ようは、確立している SSH...
View Article#OCJP-136: 「FHAPPI」 Geocities.jpとPoison Ivy(スパイウェア)のAPT事件
Please click here to read the translation in English, translated by the El Kentaro 1.はじめに *)本APT攻撃の目標をもっと知りたいなら、私の Q & A (英文)インタビュー内容をご確認ください。 ついさっき...
View Article
