- blogs:
- cles::blog
2022/12/02
日本の実在の大学を詐称するウィルス付きメールに注意
malware msoffice cisa
NEC のセキュリティブログに日本の実在の大学を詐称するウィルス付きメールが紹介されています。
昨日のものは大学等の研究機関が標的でしたが、今日のものは発信者が大学を騙るものです。
日本の大学を詐称する日本語で書かれたばらまき型メールの解析: NECセキュリティブログ | NEC
日本の大学を詐称するばらまき型メールは2022年7月末から定期的に確認されています。直近では10月28日にも確認されており、NECでも当該ばらまき型メールを検知しています。今回はメール添付ファイルを開いた際に発生しうる影響や通信先について調査した結果について紹介します。今後も類似のメールがばらまかれることも予想されるため、攻撃に対する調査等に役立てば幸いです。
† メール的には平凡だけど、マルウェア解析手法の解説は丁寧
サンプルを見ると分かりますが、メールの文章からして明らかに怪しいので、これに騙される人は少ないとは思います。
ただ、このエントリのマルウェアの解析手法は丁寧に解説されていて興味深いです。
結論から言えば、このメールの添付ファイルは Lokibot*1 というよく知られたマルウェアなのですが、きちんと検体である怪しい Office から内容を解析・ダンプし、難読化をかいくぐり、3DES で暗号化された内容を復号して、不正接続先を突き止めているので、読み応えがあります。
ファイルの解析するのに使われている oletools などの使い方は覚えておくと役立ちそうですね。
- GitHub - decalage2/oletools: oletools - python tools to analyze MS OLE2 files (Structured Storage, Compound File Binary Format) and MS Office documents, for malware analysis, forensics and debugging.
- oletools - python tools to analyze OLE and MS Office files | Decalage
トラックバックについて
Trackback URL:
お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/13643
Trackbacks
このエントリにトラックバックはありません
Comments
愛のあるツッコミをお気軽にどうぞ。[policy]
古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
コメントはありません
Comments Form
コメントは承認後の表示となります。
OpenIDでログインすると、即時に公開されます。
OpenID を使ってログインすることができます。
サイト内検索
検索ワードランキング
へぇが多いエントリ
- シェルスクリプトで最新のフ... (1)
- 情報処理安全確保支援士の登... (1)
- どうしてみんな firewalld で... (1)
- Windows のディスクのプロパ... (1)
- メイリオ + Consolas の等幅... (1)
閲覧数が多いエントリ
1 . Thunderbird のメッセージをスレッド化しないようにする(7291)
2 . Word で数式がグレーアウトされていて挿入できないときは(7150)
3 . Windows 10 で勝手にログアウトされないようにする(5368)
4 . Firefox でパスワードが保存されるページとされないページの違い(4044)
5 . awk で指定した n カラム目以降を出力する(3622)
2 . Word で数式がグレーアウトされていて挿入できないときは(7150)
3 . Windows 10 で勝手にログアウトされないようにする(5368)
4 . Firefox でパスワードが保存されるページとされないページの違い(4044)
5 . awk で指定した n カラム目以降を出力する(3622)
cles::blogについて
Referrers
19643294
(W:1341 Y:1159 T:0182)
