読者です 読者をやめる 読者になる 読者になる

Shuffler: Fast and Deployable Continuous Code Re-Randomization の紹介

はじめに 情報セキュリティ系論文紹介 Advent Calendar 2016 - Adventarの23日目の記事として、Shuffler: Fast and Deployable Continuous Code Re-Randomization | USENIXの紹介をやっていく。今日は12月23日であり、明日はクリスマス・イブである。 これは…

log2timelineの使い方

この記事は1年半前から下書きのままになっていたものである。 log2timelineとは タイムライン解析というファイルシステムのタイムスタンプ情報を元に、時系列順に痕跡を解析していく手法がある。 log2timelineはそのためのフレームワークである。plasoという…

セキュリティ・キャンプ・フォーラムで公開処刑されてきた

セキュリティ・キャンプ・フォーラムとは セキュリティ・キャンプの卒業生の同窓会的なイベントです。 「セキュリティ・キャンプフォーラム2016」開催のご案内:IPA 独立行政法人 情報処理推進機構 経緯 今年からセキュリティ・キャンプ・フォーラムにセキュ…

pysandboxの話

Python Advent Calendar 2015の15日目担当の たけまる(@tkmru)です。 今日はSECCON 2015 九州大会で見かけたpysandboxの話をしようと思います。 pysandboxとは Pythonで作られたsandboxのひとつで、2010年から2013年まで開発が行われていましたが、設計上の…

IDA freeのIDA View-Aのアドレスとasm命令、オペランドの表示が途中で切れるときの対処法

タイトルだけでは状況がよく分からない感じだが、とあるファイルを読み込んだら、IDA View-Aが以下の画像のようになってしまった。Graph viewのスクショしかとってなかったが、Text viewではアドレスとasm命令、オペランドの表示が途中で切れるようになって…

Pythonの外部入力をunpickle化することによる脆弱性を用いたexploitを書いた

背景 @inaz2氏のツイートでこの脆弱性を知り、exploitを書くに至った。デストラクタ等が自動実行される。ちなみにPythonのpickleにも同様の脆弱性がある https://t.co/Xkw3KBE3Es / PHPのunserialize関数に外部由来の値を処理させると脆弱性の原因になる htt…

VMの検知について

マルウェアを解析する際にはVMで解析を行うことが多いので、VMを検知してアンチデバッキングするマルウェアが存在する。それらが用いる手法についてまとめた。 1. TSCを用いる TSC(IA32_TIME_STAMP_COUNTER_MSR: TSC_MSR)とは、CPUクロックごとに加算される6…

シンボルを削ることによるmain関数のアンチデバッキング

CTFでよく見かけるmain関数のシンボルを削ることによるmain関数のアンチデバッキングについて。 まず、以下のコードをgccでコンパイルして、main関数のシンボルを確かめる。 #include <stdio.h> int main() { printf("test\n"); } $ objdump -d a.out|grep main 00000</stdio.h>…

GDB アンチデバッギング

GDB アンチデバッギングについて調べたのでメモ。 ptraceを使う検知法とファイルディスクリプタの増加による検知法の2通りの方法を発見したけど、後者は古いバージョンでしか動かないっぽい。 ptraceを使って検知 ptraceとはプロセス追跡をするシステムコ…

ハニポで収集したマルウェアで使用されているpackerを調べてみた。

はじめに ハニーポット dionaeaで収集した209の検体がどんなpackerを用いてるのか調べた。 運用中のdionaeaに対し、nmap -sSした結果は以下のとおり。 Starting Nmap 6.46 ( http://nmap.org ) at 2015-02-03 01:12 JST Nmap scan report for <ipアドレス> Host is up (0</ipアドレス>…

メールサーバー立てて、メールアドレスを偽装してみた。

諸事情でcentos7でPostfixを使ってSMTPサーバー立ててみて、メールアドレスの偽装とか簡単にできるなあと思った。 Postfixの設定方法 /etc/postfix/main.cfでmydomainにメールサーバーのホスト名(@以下)を、myhostnameに自ドメインのドメイン名(@以前)を、ネ…