1. まとめトップ

2017年5月19日のtwitterセキュリティクラスタ

2017年5月19日のtwitterセキュリティクラスタです。インターリンク一瞬やらかしたかんじでした。

更新日: 2017年05月19日

yousukezanさん

  • このまとめをはてなブックマークに追加
0 お気に入り 297 view
お気に入り追加

世界を救ってみた?インターリンク

取得してるドメイン、http のレスポンスないからキルスイッチとして機能してないのでは??? / インターリンクは世界規模で被害拡大のランサムウェアから世界を救ったのか?! | 株式会社インターリンク 社長ブログ interlink.blog/2017/05/%e4%b8…

これキルスイッチのドメイン取得しただけで、HTTPの応答をしないので、キルスイッチとして機能してないじゃん。他のセキュリティ研究者がキルスイッチをシンクホールしようとしたのを邪魔しているだけ、わかっていないのに余計なことするなよ。 prtimes.jp/main/html/rd/p…

WannaCryの暗号鍵をメモリ上から取り出すことに成功したという神が現れた。但し、WindowsXPで感染後、再起動していないことが条件。 github.com/aguinet/wannak…

ドメイン登録だけしてシンクホール忘れとか、ヒーローどころか大迷惑、それどころか被害を拡げるようにしか作用しないだろゴルァ

今は80番にコネクションはできるみたいだな。一応応答もかえってくる。

Kill Switch、 研究者が取得した …jhsstasdfasdfasdfasdfasdfasdfasdf.com はSinkholed!表示するけど、別の人が取得した…dp9ifjaposdfjhgosurijfaewrwergweb.com は何の応答もないぞ…。これ取得した人、現象等を理解していないのでは。。

interlinkが取得したKill Switchドメイン、当初はドメイン取っただけっぽい。 その話が広まった後で、順次「sinkholed」な表示がされるようになったようだ。 こういうのは研究者に任せてほしい。 prtimes.jp/main/html/rd/p…

インターリンクが取得した WannaCry のキルスイッチドメイン、今 80番ポートに接続するとリクエスト投げずとも HTTP レスポンスが返る謎仕様になってるんだけど、これが WannaCry のキルスイッチとして機能するのか誰… twitter.com/i/web/status/8…

そしてまだまだいろいろ大変なWannaCry関連

良記事。感染初期の段階で憶測と事実を区別し適切に注意喚起を行う体制をどうつくるか / “記者の眼 - WannaCry、ランサムウエアというよりむしろワームと考えるべきだった:ITpro” htn.to/bLSufP

持ち込み端末説が有望だと思うものの、説明がつかないものもあり、謎は残りますね。IPAがワームとしての側面を強調しなかったのは「あり得ない」と思ったからかな? / “記者の眼 - WannaCry、ランサムウエアというよりむしろワ…” htn.to/2qeZTN

『インターネットに直接接続するPCが感染したが庁内ネットワークには接続していないため、川崎市の庁内ネットワークには影響がない』<こういうのはわかりやすいんだけどね / “ニュース - WannaCryにWindows 7機が感染…” htn.to/U1Jtn6GaU3

医療系機器の場合は、セキュリティ更新プログラムの適用が法的にも難しい場合があるので、それこそ今回のwannacryの対応とか本気でやるのはしんどいと思うの。そもそもインターネットつながないから安全、が担保できる世の中でなく、クローズド内で大量感染している事例もあるし、対応大変。

1ページ目のこの書き方だとサポート期限の切れたWindows XP/2003にしか感染しないように読めてしまいます。一般のオンライン経済紙とはいえもう少しちゃんと書いた方が良いかと思います。 twitter.com/Toyokeizai/sta…

mbsd.jp/blog/20170518.…「攻撃の始まりの拡散時は、ドロッパー①を管理者権限で実行させる不正なスクリプトやマルウェア等のキッカーが存在したか、SMBの脆弱性を利用して初めから管理者権限に昇格していた等の可能性が考えられます」

DoublePulsar pre-implanted を暗示しているようで興味深いです

WannaCry とか関係なくある意味これが一番知りたいのですが、たまたま目立つ被害としての WannaCry 感染報告があった組織において過去に一度でもインターネットに向けて 445 が開いていたマシンがあったかどうかの公表はして貰えないでしょうか。

なお、Windows 2008R2 では自分の意図していないところで DFS 管理のための 445/TCP がデフォルトで開いており、この状態だけで EternalBlue exploit が成功することを確認しています。twitter.com/0x009AD6_810/s…

2017年2月以前の Equation Group による 0day 時期、そして4月のリークの段階で当方からも言っていたこの in the wild 時期 twitter.com/0x009AD6_810/s…

前者の諜報活動はあまり痕跡が残っていないであろうと思いますが後者の別犯罪者などについて EternalBlue/DoublePulsar であれば既にこの段階で EternalBlue は検知される可能性が高かったことを確認しており twitter.com/0x009AD6_810/s…

よって攻撃者にとってバレないように静かに侵入して痕跡まで消すには、他者/自己問わず誰かによって既に埋め込まれている検知されにくいバックドア DoublePulsar だけを利用して侵入するのがベストだったのでは、という当方4月のスタート地点に戻っているのであります。

ランサムウェアWannaCryの暗号化を解除する「Wannakey」がGitHubに公開~対応OSはXPのみで動作条件は限定的 pc.watch.impress.co.jp/docs/news/1060… pic.twitter.com/6vSCt2qcoV

このツール、Win7 SP1 32bit , 64bit でも動いたという報告が掲示板であった。ただ、失敗することもあるようだ。

掲示板では、Win7でも動いたと言う報告だけで、ファイルが復元出来るところまで確認出来たのかは不明。ツールの作者はWindow XPの暗号処理にメモリ内容を完全クリーンアップしない欠陥があったため、それを利用したと言っている。

サポート切れのWindows XPを使い続けていた感染者のみが、もしかしたら助かるかもしれないという皮肉なことになっている。

1 2





twitterセキュリティネタまとめというサイトでまとめてます。趣味は競馬です。"><xmp>

このまとめに参加する