BLOGTIMES
2022/12/02

日本の実在の大学を詐称するウィルス付きメールに注意

  malware  msoffice  cisa 
このエントリーをはてなブックマークに追加

NEC のセキュリティブログに日本の実在の大学を詐称するウィルス付きメールが紹介されています。
昨日のものは大学等の研究機関が標的でしたが、今日のものは発信者が大学を騙るものです。

日本の大学を詐称する日本語で書かれたばらまき型メールの解析: NECセキュリティブログ | NEC

日本の大学を詐称するばらまき型メールは2022年7月末から定期的に確認されています。直近では10月28日にも確認されており、NECでも当該ばらまき型メールを検知しています。今回はメール添付ファイルを開いた際に発生しうる影響や通信先について調査した結果について紹介します。今後も類似のメールがばらまかれることも予想されるため、攻撃に対する調査等に役立てば幸いです。

メール的には平凡だけど、マルウェア解析手法の解説は丁寧

サンプルを見ると分かりますが、メールの文章からして明らかに怪しいので、これに騙される人は少ないとは思います。

ただ、このエントリのマルウェアの解析手法は丁寧に解説されていて興味深いです。
結論から言えば、このメールの添付ファイルは Lokibot*1 というよく知られたマルウェアなのですが、きちんと検体である怪しい Office から内容を解析・ダンプし、難読化をかいくぐり、3DES で暗号化された内容を復号して、不正接続先を突き止めているので、読み応えがあります。

ファイルの解析するのに使われている oletools などの使い方は覚えておくと役立ちそうですね。


こんな記事もあります 「Decalage Lokibot oletools
トラックバックについて
Trackback URL:
お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/13643
Trackbacks
このエントリにトラックバックはありません
Comments
愛のあるツッコミをお気軽にどうぞ。[policy]
古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
コメントはありません
Comments Form

OpenID を使ってログインすることができます。

Identity URL: Yahoo! JAPAN IDでログイン