blog.0day.jp
0day.jp (ゼロデイ.JP): 「Linux/AES.DDoS」MIPS/ARMルーターマルウェア感染攻撃
http://blog.0day.jp/2015/07/linuxaesddosarm.html
Blog of { threat exploit malware vulnerability } research for Japan security. 金曜日, 7月 03, 2015. 12300;Linux/AES.DDoS」MIPS/ARMルーターマルウェア感染攻撃. Ip": "61.160.213.58", "SOA": " nmc1.ptt.js.cn. postmaster.nmc1.ptt.js.cn.", "city": "Nanjing", "region": "Jiangsu", "country": "CN", "loc": "32.0617,118.7778", "org": "AS23650 AS Number for CHINANET jiangsu province backbone" }. File size Ratio Format Name - - - - - - - - - - - - - - - - - - - - - - - - - 1156461. 参考調査記事⇒【 -1-. 12305;【 -2-. LinuxAgent malware sample ...
blog.0day.jp
0day.jp (ゼロデイ.JP): 【研究情報】暗号化されているマルウェアデータが何とかPythonで…
http://blog.0day.jp/2015/06/python.html
Blog of { threat exploit malware vulnerability } research for Japan security. 土曜日, 6月 27, 2015. 12304;研究情報】暗号化されているマルウェアデータが何とかPythonで…. ElasticsearchのCVE-2015-1427脆弱性を狙っているマルウェアの調査をしました、書いたレポートは下記のURLに確認が出来ます。この記事の参考として後でご覧下さい↓. Http:/ blog.malwaremustdie.org/2015/06/mmd-0034-2015-new-elf.html. 8593;新規マルウェアですので、参考情報がゼロ、2件暗号化機能を発見しましたが、2DESとXORですので、全部pythonで解決しました。情報公開の為に国内のコミュニティーに情報を公開します。 Bash 0dayマルウェア感染の「real time」リバースエンジニアリング. 12304;研究情報】暗号化されているマルウェアデータが何とかPythonで…. Deobfuscating the Nemucod Downl...
blog.0day.jp
0day.jp (ゼロデイ.JP): 【警告】新規Linux/Mayhemマルウェアの感染
http://blog.0day.jp/2015/06/linuxmayhem.html
Blog of { threat exploit malware vulnerability } research for Japan security. 月曜日, 6月 22, 2015. Wordpressの安全性が低いパスワードを狙いbruteで攻撃され、クラッキングされるとPHPマルウェアインストーラーファイルをサーバーにアップロードされてしまいます。その後、別のIPからアップロードされたPHPインストーラーファイルを実行されてしまい、ELFと.shマルウェアインストーラーが実行されてしまいます。 マルウェアがインストールされたらマ ルウェアコントロールセンター(documents-live .com). にPOST HTTP/1.0のリクエストを送信されてしまい、感染されたダイレクトリーに 暗号化されたマルウェアドライブ.sd0. が保存されています。そして感染されたサーバがボットネットになり、リモートから他のサーバに次の感染攻撃を行う可能性が出ます。もっと詳しい情報は こちら(英文研究内容). 下記、参考として、発見した時の情報↓. Detect its traffic good!
blog.0day.jp
0day.jp (ゼロデイ.JP): 【警告】 Linux/Xor.DDoSマルウェアの感染
http://blog.0day.jp/2015/06/linuxxorddos.html
Blog of { threat exploit malware vulnerability } research for Japan security. 水曜日, 6月 24, 2015. 12304;警告】 Linux/Xor.DDoSマルウェアの感染. 104143.5.15 36114 104.143.0.0/20 VERSAWEB-ASN US versaweb.com Versaweb LLC 107.182.141.40 40-141-182-107-static.reverse.queryfoundry.net. 62638 107.182.140.0/23 QUERY-FOUNDRY US queryfoundry.net Shanghe Yang. 2015-06-23 01:29:42 0900 connection: 107.182.141.40:41625 [session: 5899] 2015-06-23 01:29:42 0900 connection: 104.143.5.15:51433 [session: 5900]. 参考情報は 【1】. Another look...
blog.0day.jp
0day.jp (ゼロデイ.JP): DarkLeech Apache Moduleマルウェアのリバースエンジニアリング調査 (#OCJP-098について)
http://blog.0day.jp/2013/03/darkleech-apache-module.html
Blog of { threat exploit malware vulnerability } research for Japan security. 水曜日, 3月 20, 2013. DarkLeech Apache Moduleマルウェアのリバースエンジニアリング調査 (#OCJP-098について). 本件の内容は DarkLeech Apache Moduleに感染された事件(#OCJP-098). 今回のメインは発見したRogue Apache Moduleマルウェアのリバースエンジニアリングの内容になります。 今後サーバ側からの対策が出来るように、マルウェアの形、動き方、とその他詳細な情報を洗い出したほうがいいと考えております。 数時間前日本国内にある感染されたサーバで調査を行いました。Apacheのaccess logにあやしい項目を発見しました、grepの結果↓. Owlhh=kwfyos&nubobo=jyaxej HTTP/1.1" 404 8884 "-" "Mozilla/4.0 (Windows XP 5.1) Java/1.6.0 ...Owlhh=kwfyos&nubo...
blog.0day.jp
0day.jp (ゼロデイ.JP): マルウェア・ハンターの気持ち
http://blog.0day.jp/2012/03/blog-post.html
Blog of { threat exploit malware vulnerability } research for Japan security. 水曜日, 3月 21, 2012. 調査して、レポートを書いて、報告手続きをする。 もっと管理と履歴や証拠を残す為に #OCJP / オペレーション・クリーンアップ・ジャパン. 誤検知を山ほど見つけたり、マルウェアが無くなったり、マルウェアが変わったり、. 私は日本が好きで、日本に居て、日本を守りたい、そう思ってずっとやって行きました。 ゼロデイ・ジャパン http:/ 0day.jp. Analyst: アドリアン・ヘンドリック / Hendrik ADRIAN. TO BE NOTICED: All of the findings and exposed material in this site is belong to the site owner and is an original. Indexhtml dddbb9957ee206141588deef662442f5 ← VT(2/43). OCJP-126: マルウェア調査ᦂ...
blog.0day.jp
0day.jp (ゼロデイ.JP): 明けましておめでとう御座います!
http://blog.0day.jp/2015/01/blog-post.html
Blog of { threat exploit malware vulnerability } research for Japan security. 木曜日, 1月 08, 2015. OCJP-098: 【警告】 285件日本国内のウェブサイトが「Darkleech Apache Module」に感染されて、IEでアクセスすると「Blackhole」マルウェア感染サイトに転送されてしまいます! Bash 0dayマルウェア感染の「real time」リバースエンジニアリング. OCJP-124: とある某(.JP)ドメインが「REVETON」マルウェア感染仕組みに悪用される AFRAID.ORGのDNSハッキング事件. 12304;研究情報】暗号化されているマルウェアデータが何とかPythonで…. PEStudio 8.18, Wireshark and VirusTotalを使いマルウェア調査ガイドビデオを作りました. Andre' M. DiMino -SemperSecurus. Another look at a cross-platform DDoS botnet.
SOCIAL ENGAGEMENT