[Cuckoo Sandbox] サンドボックス検出ツール「sems」を使って軽く耐耐解析機能を実現してみる

sems とは sems は、Cuckoo Sandbox や仮想マシン内で実行されていることを検知しレポートするソフトウェア。 あゆむ氏 (@AES256bit) に存在を教えてもらった。semsは、以下のような様々なサンドボックス検出機能を持つ。 サンドボックスが用いるdllインジェ…

[Cuckoo Sandbox] プロキシ経由通信時の解析結果のURL表記の崩れの修正

Cuckooはmitmproxyに対応しているが、レポートのURL記載周りにおいてはURLにパスのみが含まれている前提になっている。結果、パスが「http://〜」から始まるプロキシサーバ宛の通信の記載は以下のようになる。 Performs some HTTP requests(3 events) reques…

TXTレコードでトンネリングする疑似マルウェアの仕様とデモンストレーション

疑似マルウェアを動かしてTXTトンネリングしている際のパケットしゅーとです。以前AレコードでトンネリングするHelminthというマルウェアのC2サーバを作成しましたが、 今回はTXTレコードでトンネリングする疑似マルウェアおよびC2サーバを作ってみました。D…

glibc の脆弱性 CVE-2017-12132 は glibc の脆弱性ではない

しゅーとです。8/1 、glibcの開発者は、glibcにいわゆるアイコラ攻撃の脆弱性が存在するとして修正を行ったとのことです。 その脆弱性のCVE番号は CVE-2017-12132 で、下記に概要が載っています。cve.mitre.orgまた、日本語で概要が載っているページもありま…

標的型攻撃で使われたマルウェアを解析して C2 サーバを作った。そのマルウェアは DNSトンネリングを行う珍しいものだった。

↑マルウェアを動かして 自作 C2 サーバとやりとりをしている図。詳しくはページ下部にて解説 しゅーとです。去年あたりに、サウジアラビアの金融機関を狙った標的型攻撃があったのですが、その攻撃にDNS トンネリングを用いて情報を外部に送信するマルウェア…

unboundが保存するキャッシュ情報について

dump_cache DNSキャッシュポイズニングの勉強中、キャッシュサーバの動作を知るためにキャッシュのダンプをしたくなる時があります。 unboundでは、以下のコマンドでキャッシュ情報を見ることができます。 $ unbound-control dump_cache START_RRSET_CACHE ;…

あるDNSサーバのTTLの短さとLame DelegationについてIPAに報告したら

届出内容を確認したところ、下記の判断理由の通り、本枠組みにおける 脆弱性ではないとの判断に至った為、取扱いを終了させて頂こうと考え ておりますが、如何でしょうか。取扱いに問題がある場合は 10 営業日を目処にご連絡をお願い致します。ただし、取扱…

さわやかのハンバーグが美味しくて交通事故起こした

炭焼きレストランさわやか Advent Calendar 2014 - Adventar 炭焼きレストランさわやか Advent Calendar 2014 2日目 忘れもしません。あれは三保の松原が世界文化遺産に登録されて1年のことでした仲のいい4人の友達と一緒に静岡旅行をしたんです。 三保の松…

AndroidとiOSのLINEのデータベースの比較 トーク編

軽い気持ちでiPhoneからAndroidにLINEのデータ移行しようと思ったら無理でした。 まずデータベースの構造が全然違いました。 トーク画面のトークデータベース部分のAndroid,iOSの対応表を作りましたが飽きたのでこれ以上やるつもりないです。 どこかの会社が…

カーネルコンパイル時に 「 cc1: error: unrecognized command line option」エラーが出て停止

FreeBSD9.3からFreeBSD10.0にアップグレードしたあと、カスタムカーネルをコンパイルする時、 cc1: error: unrecognized command line option "-mno-aes" cc1: error: unrecognized command line option "-mno-avx" cc1: error: unrecognized command line o…

unboundで指定したドメインのレコードを意図的に捻じ曲げる

google.comとその全てのサブドメインのAレコードを192.168.0.1と応答させたいなら、 unbound.confに、 local-zone: "google.com." redirect local-data: "google.com. A 192.168.0.1"と入れれば応答を捻じ曲げることができるぞ。

LINEアプリのスタンプダウンロードについて解析してみる

私のウェブサイトにたどり着く検索ワードに、「LINE 解析」など、LINE関係の解析について知りたい方が多いようです。ですので今回はLINEのスタンプについて書いていこうと思います。 iPhone版のアプリが、どうやってスタンプをダウンロードしているかです。 …

夏のmixi Scrap Challenge 2014が開催されるので今年1月に開催したScrap Challenge2013でやったこと書く

夏のmixi Scrap Challenge2014が開催されるようです。 Scrap Challenge 2014 | 株式会社ミクシィ 学生向けエンジニアイベントこれに合わせて、放置していた 今まで温めておいたメモを書き起こし、記事を公開します。 結論から言うと、めちゃくちゃ楽しかった…

FreeBSDのカスタムカーネルをインストールメディアにする。

記事の最後に、Jail + VIMAGEを手っ取り早く触るための私が作成した vimageカーネル版FreeBSD-9.3-VIMAGE-amd64-disc1.isoへのリンクをつけます。 Jailの真の実力はやはり、VIMAGEを使ってこそでしょ!ということで VIMAGEを色々なマシンに入れたいのですが…

FreeBSd 9.xのjailで"Host name lookup failure","DNS lookup failure"

FreeBSD9.xでバグを踏んだみたいです。 同じ現象が起きた人の為にメモ。今まで名前解決ができていたのに、hostをrebootをしたらjail内で名前解決ができなくなってしまいました。エラー内容はpingの場合だと、 ping: cannot resolve Host name lookup failure…

bridge+epairで仮想HUBをvitochaで作ってみる

先日書いた記事 bridge+epairで仮想HUBを作ってみる=>できた -を@tss_ontapさんが作成したvitochaを用いて作成します。 - vitochaについての情報はこちら。 公式サイト VITOCHA説明スライド VIMAGE仮想ネットワーク構築クラスライブラリ VITOCHA (通称バ…

bridge+epairで仮想HUBを作ってみる=>できた

もっといい方法が必ずあるはずなので、とりあえずメモとして。以下の様なネットワークを作ってみます。 まずはスイッチ部分を作成し、Jail hostまでつなげるところから。 # ifconfig bridge create bridge0 # ifconfig bridge0 vnet switch # ifconfig epair…

vnetが動かないqjailを無理やり動かしてみる

追記.2014/08/05 記事を修正しました。 qjail configでvnetが動きました。 qjail config -vを使う方法 # qjail config -v test01 At this time only ipfw firewall is vimage aware and can run on the host and in the vnet jail at the same time. Chose b…

qjailについてのTIPS

単発ネタが多いからまとめて投稿 随時更新します。 qjailでもVIMAGE vnetを使う方法 追記(07/10) そのままではvnetを有効化できませんでした。 こちらの記事の内容で有効化できます。 vnetが動かないqjailを無理やり動かしてみる - freebsd qjailでもvnetを…

em-websocketで非同期処理(連続でサーバ側からクライアントにPushする)

EventMachine::WebSocket.start(host: "0.0.0.0", port: 3000) do |ws| 〜〜 sleep(1) msg = ”test1” ws.send(msg) sleep(1) msg = ”test2” ws.send(msg) sleep(1) msg = ”test3” ws.send(msg) 〜〜 end というコードを書き、1秒毎にサーバ側がmsgをブラウザ…

指定したpkg(pkgng)の全依存関係を表示する

- 追記.(2014/07/08) スクリプトのバグにより全ての依存関係が取れない可能性がありました。バグのあるスクリプトは依存関係を調べるスクリプトで、修正箇所はs,e = Open3.capture3("cd #{pkg};make build-depends-list") ↓ s,e = Open3.capture3("cd #{pkg}…

嫌がらせに片っ端から名前解決したらDNS名前衝突ブロックリストに載るの?

DNS

http://t.co/U2qKqlCkwg のドメインが既にとれないっていうのはどういうこと。まだ、ランドラッシュだよね。だれかが押さえたって事?それとも、インターリンク社が取れないように拒否しているとか、そういうのあるの?— tomocha @転職活動中 (@tomocha0) 20…

jail内でpkgng初回起動時のダイアログが出ないようにする

FreeBSD10.0でpkgngが出ましたが、 jail内でpkgを初回起動する際に、 Do you want to fetch and install it now? [y/N]:というダイアログが表示されます。 通常使用のFreeBSDであれば自分でyを入力して進めればいいのですが、 今回はスクリプトで動かすので…

(ネタバレ注意)#RECRUIT_CODE、全問を解いてみた(?)

クリア画像。q1からq5、そしてlast questionを解くと表示されます。 クリアしたところで何も良いことはないけど。 というわけで、このたびリクルートが出したインターンシップの特設ページの暗号解読サイトを解いてみます。解読できる学生求む!ターミナルに…

Alpha World Online解析データ

ネタがないため昔のブログから記事を写すPart2。 4年前にもうサービス終了してるけど参考までに。 Documents内のファイル ・02_MAIN 中核ファイルかな?詳細不明 ・02_MAIN_ACTOR_NAME_DATA フィールド上の各オブジェクト(クリック判定のあるもの)の構成フ…

LINEデータベース「talk.sqlite」のテーブル解析

Digital Forensic Artifacts Research: Forensic artifacts in LINE instant messaging app (iOS version)2012年12月当時にLINEのtalk.sqliteを解析した人がいたようです。 そういえば、購入していないスタンプを使おうとすると送信エラーになりました。 で…

「Super Planet Crash」ランキングの人が明らかにチート

GIGAZINE様で紹介されているこの記事 星を配置して星系を見守るシミュレーションゲーム「Super Planet Crash」 - GIGAZINEこのフラッシュゲーム。 Super Planet Crash - Can you feel the gravity?ランキングを見るとこんな感じ。(4/15 21時現在) スコア、49…

Willer Travelのログインシステムがオープンリダイレクタを持つ

https://travel.willer.co.jp/dy/3/common/pc/login/?next=[任意のURL]ログインまたは新規登録後任意のURLに飛ばせる。これを脆弱性とみなすかどうか。

【Part2】「先着1000名様!ゲームクリアで必ず山田さんの缶車プレゼント!」を"必ず"ゲームクリアしてみる

「先着1000名様!ゲームクリアで必ずFun!Fun!ピンク缶!プレゼント!」を"必ず"ゲームクリアしてみる - !# ↑の、前のイベント時に書いた記事と仕様が全く変わっていないです。 簡単に解析結果を書いておくと、以前と変わらず、・スロットが当たる確率は1/2000…

皿打だ!クリアだ!

Flashタイピング【皿打】次は皿打のクリアデータについて簡単に。 Flashで保存されています。パスは(Macの場合は) /Users/ユーザ/Library/Preferences/Macromedia/Flash Player/#SharedObjects/DFKM4NEJ/neutralx0.net/sarada のsr.solファイル。Windowsで…