TheNote
RSS SANS インターネット ストーム センター、Inf... ノート
GooglePlay AppStore

RSS SANS インターネット ストーム センター、InfoCON:緑

サイバーセキュリティのトレーニングと認定において最も信頼される機関の1つであるSANS Instituteの一部であるウェブサイト「isc.sans.edu」について説明します。 このウェブサイトは、主に情報を中心にサイバーセキュリティの分野でさまざまなリソースを提供しています。ホームページでは、SANS Internet Storm Centerからリアルタイムのサイバー脅威と脆弱性の更新情報を提供しています。これは、最新の更新情報、脅威レベルグラフ、ボックススコアの形式で表示されます。 診断プロジェクトも提供しており、完全なサイバーセキュリティ分析のためにマルウェアの署名、脅威フィード、ルールセットが含まれています。さらに、「isc.sans.edu」サイトでは、サイバーセキュリティの専門家向けの教育とトレーニング、およびサイバーセキュリティのトピックに関するディスカッションのためのフォーラムも提供しています。 サイトの主なセクションは以下の通りです。 1. InfoStorms: ストームを追跡し、報告し、また即時の脅威を軽減するためのステップを提供します。 2. 脅威: このカテゴリには、現在の世界的なサイバー脅威が含まれます。 3. 無料ツール: サイバー脅威に対してシステムをテストおよび評価するための無料ツールがウェブサイトに用意されています。 4. 教育: サイバーセキュリティのトレーニングコースが多数用意されています。 5. 脆弱性: このセクションでは、過去の脆弱性に関する情報と、それを軽減するためのガイドが提供されています。
SANS Internet Storm Center, InfoCON: green isc.sans.edu
RSS isc.sans.edu
RSS Hunter RSS Hunter 2024年8月23日

ノートのスレッド

VHDXファイルからRemcos RATへ(火曜日、6月16日)

昨日、ある読者から悪意のあるZIPアーカイブ(SHA256: a0104921a2d37ab87482ac9a9f5c3713479c118846c3e999178e75b81620c094[1])について報告を受けました。展開すると、マウント後に悪意のあるJavaScriptが明らかになるVHDXファイルが含まれています(最新のWindows OSでは自動的にマウントされます)。
From a VHDX File to a Remcos RAT, (Tue, Jun 16th) isc.sans.edu
CdXz5zHNQW_ugB8x5PIDr.png
RSS Hunter RSS Hunter 6月16日

過去3年間で、framing protection security headersの使用はどのように変化しましたか?(6月10日水曜日)

2023年に、私はインターネット上で最も人気のある100万ドメイン(Trancoリスト[2]に基づく)で、X-Frame-Optionsおよびframe-ancestorsディレクティブを含むCSPヘッダーがどれほど一般的に使用されており、どのように設定されているかについて議論した日記[1]を書きました。それから3年が経過したので、分析を繰り返し、その間に何が(もしあれば)変わったのかを見てみるのは興味深いと思いました。
How has use of framing protection security headers changed in the past 3 years?, (Wed, Jun 10th) isc.sans.edu
CdXz5zHNQW_IdWQNNsK4E.png
RSS Hunter RSS Hunter 6月10日

Microsoft 2026年6月パッチ火曜日(6月9日火曜日)

Microsoftは本日、204件の脆弱性に対するパッチをリリースしました。これらの脆弱性のうち38件は重大とみなされており、3件は本日より前に開示されていました。脆弱性のうち6件はMicrosoftのクラウドソリューションに影響を与え、ユーザーのアクションは不要です。さらに、MicrosoftはChromiumに影響を与える360件の異なる脆弱性をEdgeブラウザに組み込みました。
Microsoft June 2026 Patch Tuesday, (Tue, Jun 9th) isc.sans.edu
RSS Hunter RSS Hunter 6月9日

TeamPCP サプライチェーンキャンペーン:2026年6月7日までの活動、(6月8日月曜日)

このダイアリーは、Internet Storm Center が追跡している TeamPCP サプライチェーンキャンペーンの続きです。このキャンペーンは、SANS のホワイトペーパー「When the Security Scanner Became the Weapon」で初めて文書化され、最近ではハンドラーダイアリー「Activity Through 2026-05-24」で取り上げられました。その更新以降、この件は 2 つの新しい展開を見せています。1 つは、キャンペーンを正式に認識した米国政府、もう 1 つは、TeamPCP が先月オープンソース化した Mini Shai-Hulud フレームワークを現在使用している、より広範な攻撃者の集団です。
TeamPCP Supply Chain Campaign: Activity Through 2026-06-07, (Mon, Jun 8th) isc.sans.edu
RSS Hunter RSS Hunter 6月8日

邪悪なMSIの背景が戻ってきた!(金曜日、6月5日)

数ヶ月前、JPEG画像に埋め込まれたペイロードについて日記を書きました。それはMSIブランドの背景でした[1]。昨日、別のものを見つけました!このテクニックはますます人気が出ているようです。今回は、WeTransferリンクを含むメールから始まりました。
The Evil MSI Background is Back!, (Fri, Jun 5th) isc.sans.edu
CdXz5zHNQW_fvTme5iyKs.png
RSS Hunter RSS Hunter 6月5日

swagger.json のスキャンを継続中 (6月3日水曜日)

エンタープライズアプリケーションは、WebサービスにSOAPのような複雑な標準を依然として使用することがよくあります。SOAPの大きな利点は、その厳格で広範な標準であり、Webサービスによって管理されるエンタープライズ全体での相互運用性を可能にすることです。SOAPの欠点:第一に、通常HTTP上で使用されますが、HTTPを活用しないため、不必要な複雑さにつながります。第二に、子供たちはマニュアルを読まず、最近の開発者は注意深いシステム設計の技術を理解しない傾向があり、むしろIDEにコードを投げ込んで何が機能するかを確認しようとします。コードに共感しない場合でも同様です。
Continuing Scans for swagger.json, (Wed, Jun 3rd) isc.sans.edu
CdXz5zHNQW_UvMTQ7U5w5.png
RSS Hunter RSS Hunter 6月3日

SVGファイルを用いたフィッシングメールの新波、(6月2日火曜日)

数日間、私のSANS ISCメールボックスはSVGファイルを提供するメールで溢れています。SVG(「Scalable Vector Graphic」)は、グラフィックやアイコンに使用されるWebフレンドリーなベクターファイル形式です。本文にURLはなく、「画像」だけという、悪意のあるコンテンツを配信するのに最適な方法です。脅威アクターがこの手法を使用するのは今回が初めてではありません[1]。
New Wave Of Phishing Emails with SVG Files, (Tue, Jun 2nd) isc.sans.edu
CdXz5zHNQW_6gsqoqMRul.png
RSS Hunter RSS Hunter 6月2日

DShieldセンサーにアップロードされたファイルの1年間の分析(5月27日水曜日)

過去1年間に収集されたデータとKibanaを使用して、これらの2つのES|QLクエリでデータを要約します。これは、過去1年間に2つのDShieldセンサー(ローカルおよびクラウド)に最も多くアップロードされた脅威のリストを示しています。アクティビティを月ごとにソートし、各月にセンサーにアップロードされたファイルの進化を示しています。アクティビティは冬の月(2025年12月~2026年2月)にピークに達し、2026年3月から各センサーで減少し始めました。
Analysis of a Year of Files Uploaded to DShield Sensors, (Wed, May 27th) isc.sans.edu
CdXz5zHNQW_gsAcMK39gA.png
RSS Hunter RSS Hunter 5月28日

ペリメータおよびエンドポイントログからのAkiraランサムウェアキルチェーンの再構築(5月27日水曜日)

ほとんどのAkiraの解説記事は、身代金要求メモや暗号化ルーチンに焦点を当てています。それらが現れる頃には、興味深いフォレンジック作業は終わっています。防御側にとって重要な質問は、もっと早い段階にあります。どのように侵入したのか。いつドメイン管理者権限を取得したのか。バイナリが実行
Reconstructing an Akira Ransomware Kill Chain from Perimeter and Endpoint Logs, (Wed, May 27th) isc.sans.edu
CdXz5zHNQW_93IR1k2xiV.png
RSS Hunter RSS Hunter 5月27日

TeamPCP サプライチェーンキャンペーン:2026年5月24日までの活動(月曜日、5月25日)

TeamPCPは現在、3つのパッケージエコシステムで並行して運用されており、GitHubの独自の内部コードベースに到達し、Microsoftが公式に公開したPython SDKをトロイの木馬化し、独自のフレームワークをGitHubでオープンソース化したようです。
TeamPCP Supply Chain Campaign: Activity Through 2026-05-24, (Mon, May 25th) isc.sans.edu
RSS Hunter RSS Hunter 5月25日

TeamPCP サプライチェーンキャンペーン:2026年5月24日までの活動(月曜日、5月25日)

TeamPCPは現在、3つのパッケージエコシステムで並行して運用されており、GitHubの独自の内部コードベースに到達し、Microsoftが公式に公開したPython SDKをトロイの木馬化し、独自のフレームワークをGitHubでオープンソース化したようです。
TeamPCP Supply Chain Campaign: Activity Through 2026-05-24, (Mon, May 25th) isc.sans.edu
RSS Hunter RSS Hunter 5月25日

高水準言語におけるスタック文字列の例(5月23日土曜日)

今週、私はSEC670[1]トレーニング(「レッドチーミングツール - Windowsインプラント、シェルコード、コマンド&コントロールの開発」)に参加しています。私の見解では、このトレーニングはFOR610またはFOR710(マルウェア分析)と完全に一致します。なぜなら、マルウェアに反対の側面からアプローチしているからです。リバースエンジニアリングを実行する代わりに、悪意のあるコードを書くのです!常に別の視点を持つことは興味深いことです。
An Example of Stack String in High Level Language, (Sat, May 23rd) isc.sans.edu
CdXz5zHNQW_akbFJiIWgF.png
RSS Hunter RSS Hunter 5月23日

クロスプラットフォームNPMスティーラー(5月22日金曜日)

私は、かなり巧妙に難読化されたNode.jsのスティラーを見つけました。ファイルはVTに「extracted-decoded.js」(そしてフォーマットされたもの)としてアップロードされていたため、そのままでは実行できませんでした。SHA256は049300aa5dd774d6c984779a0570f59610399c71864b5d5c2605906db46ddeb9[1]です。サンドボックスでは正常に実行されなかったため、静的解析のみが実行されました。
Cross-Platform NPM Stealer, (Fri, May 22nd) isc.sans.edu
RSS Hunter RSS Hunter 5月22日

Linuxにおける選択的HTTPプロキシ、(木、5月21日)

最近、Robは特定のプロセスからのリクエストをインターセプトできるツール、Proxifierについて書きました。ProxifierはWindows、macOS、Androidで利用可能です。しかし、私はまだ汎用的なLinuxオプションを見ていません。Proxifierのようなツールの利点は、特定のソフトウェアをターゲットにできることです。デバッグ、リバースエンジニアリング、および同様のタスクでは、特定のプロセスを選択することは非常に役立ちます。なぜなら、分析すべきノイズが少なくなり、分析が簡素化されるからです。
Selective HTTP Proxying in Linux, (Thu, May 21st) isc.sans.edu
RSS Hunter RSS Hunter 5月21日

TeamPCP サプライチェーンキャンペーン:2026年5月17日までの活動、(5月18日月曜日)

前回のアップデート以降、TeamPCPサプライチェーンキャンペーンは、3月のTrivy開示以来最も大きな動きを見せました。公式に確認されたCheckmarx Jenkinsプラグインの侵害と、npmおよびPyPI全体にわたる新しい自己拡散型Mini Shai-Huludワームです。
TeamPCP Supply Chain Campaign: Activity Through 2026-05-17, (Mon, May 18th) isc.sans.edu
RSS Hunter RSS Hunter 5月18日

[ゲストダイアリー] 新しいマルウェアライブラリは新しいシグネチャを意味する (5月15日金曜日)

&#;xd;&#;xd;:根 &#;x7b;&#;xd;--ISC-マルーン: #;7a1f1f;&#;xd;--isc-マルーンダーク: #;5e1717年;&#;xd;--isc-link: #;0066cc;&#;xd;--isc-text: #;1a1a1a;&#;xd;--isc-muted: #;555;&#;xd;--isc-rule: #;d0d0d0;&#;xd;--isc-code-bg: #;f4f4f4;&#;xd;--isc-code-text: #;c0392b;&#;xd;--isc-block-bg: #;1e1e1e;&#;xd;--isc-block-text: #;e6e6e6;&#;xd;--isc-callout-bg: #;ファファファ;&#;xd;--isc-table-header: #;ececec;&#;xd;}&#;xd;
[Guest Diary] New Malware Libraries means New Signatures, (Fri, May 15th) isc.sans.edu
CdXz5zHNQW_GtQ11GEKYa.png
RSS Hunter RSS Hunter 5月15日

Outlookの迷惑メールフォルダーにおけるリンクプレビュー機能の簡単なバイパス(木曜日、5月14日)

疑わしいスパムをMicrosoft Outlookが配置する場所として機能するだけでなく、Outlookの迷惑メールフォルダーには、悪意のあるメッセージを特定する上で非常に役立つもう1つの機能があります。このフォルダーに配置されたすべての電子メールは、すべての書式設定が削除され、メッセージに含まれるすべてのリンクの宛先がユーザーに表示されるようになります。これは、同じ電子メールが受信トレイに配置された場合と迷惑メールフォルダーに配置された場合を示す次の画像で確認できます。
Simple bypass of the link preview function in Outlook Junk folder, (Thu, May 14th) isc.sans.edu
CdXz5zHNQW_G7WCE3NWMv.png
RSS Hunter RSS Hunter 5月14日

クッキーはサービスの提供に役立ちます。サービスを利用するか、「同意する」をクリックすることで、 クッキーの使用 に同意したことになります。