podcast - #セキュリティのアレ

【関連記事】

・根岸カップリング – Wikipedia
・EmotetとIcedIDとTrickbotをATT&CKを利用して比較したメモ | (n)inja csirt
・CL0PによるAccellion FTAの脆弱性利用事件メモ | (n)inja csirt
・Have I Been Pwned: Check if your email has been compromised in a data breach
・Black Kingdom ransomware (TTPs & IOC) | REDTEAM.PL TECHBLOG
・CSS-Exchange/Security at main · microsoft/CSS-Exchange · GitHub
・Analyzing attacks taking advantage of the Exchange Server vulnerabilities – Microsoft Security
・Black Kingdom ransomware begins appearing on Exchange servers – Sophos News
・Chromium Blog: A safer default for navigation: HTTPS
・HTTPS-Only Mode in Firefox | Firefox Help
・RFC 8996 – Deprecating TLS 1.0 and TLS 1.1
・TLS 1.0/ 1.1 Usage Report
・TLS暗号設定ガイドライン～安全なウェブサイトのために（暗号設定対策編）～：IPA 独立行政法人 情報処理推進機構
・SSL Server Rating Guide · ssllabs/research Wiki · GitHub
・Androidで「WebView」不具合、アンインストールはちょっと待って – ケータイ Watch
・Google Japan on Twitter: “Android アプリが一部のユーザーで強制終了する問題を修正しました。不具合が解消しない場合は、Google Play ストアから Android システムの WebView と Google Chrome をアップデートしてください。ご迷惑をおかけした皆さまにお詫び申し上げます。 https://t.co/IYtyEr5FC8 https://t.co/JyU6EsGNSz” / Twitter
・Def Tech – My Way / THE FIRST TAKE – YouTube
・オリコン合算ランキングの集計方法について | ORICON NEWS

【関連ツイート】

Our work continues, but we are seeing strong momentum for on-premises Exchange Server updates:
• 92% of worldwide Exchange IPs are now patched or mitigated.
• 43% improvement worldwide in the last week. pic.twitter.com/YhgpnMdlOX

— Security Response (@msftsecresponse) March 22, 2021

Someone just ran this script on all vulnerable Exchange servers via ProxyLogon vulnerability. It claims to be BlackKingdom "Ransomware", but it doesn't appear to encrypt files, just drops a ransom not to every directory. pic.twitter.com/POYlPYGjsz

— MalwareTech (@MalwareTechBlog) March 21, 2021

Updated Special Report run to add extra data and re-test exposed webshells: +220990 events, 38798 IPs, 45747 hostnames, 141935 webshell paths, with 48197 active shells returning version info. Expanded webshell scan set to follow, but please urgently remediate compromised systems. https://t.co/go0D6kREv7

— Shadowserver (@Shadowserver) March 25, 2021

Android アプリが一部のユーザーで強制終了する問題を修正しました。不具合が解消しない場合は、Google Play ストアから Android システムの WebView と Google Chrome をアップデートしてください。ご迷惑をおかけした皆さまにお詫び申し上げます。https://t.co/IYtyEr5FC8https://t.co/JyU6EsGNSz

— Google Japan (@googlejapan) March 23, 2021

辻伸弘メモ：

実績まとめるときの検索方法。色々まとめておくと後々便利。アベックはフランス語。ギリ寄りのギリ。EOMT-EMOTET-EMET-MOET。攻撃が高度か低度かでははかれない場合もある。ブラウザのhttp(s)へのアクセスの挙動が変わるよ。ダガー。世界中に●台あるは現役のものではない可能性もある。影響を受けない辻。問題の周知方法って大事。反省をします。

収録日: 2021年3月27日

Podcast: Play in new window | Download

Subscribe: RSS

【関連記事】

・攻撃発生中のExchange Serverの脆弱性 ProxyLogonなどについてまとめてみた – piyolog
・March 2021 Exchange Server Security Updates for older Cumulative Updates of Exchange Server – Microsoft Tech Community
・中国ハッカー攻撃、マイクロソフトが情報流出の可能性調査 – WSJ
・China Chopper Webシェルを使用したMicrosoft Exchange Serverに対する攻撃の分析
・Exchange servers under siege from at least 10 APT groups | WeLiveSecurity
・Microsoft Security Intelligence on Twitter: "We have detected and are now blocking a new family of ransomware being used after an initial compromise of unpatched on-premises Exchange Servers. Microsoft protects against this threat known as Ransom:Win32/DoejoCrypt.A, and also as DearCry." / Twitter
・Protecting on-premises Exchange Servers against recent attacks – Microsoft Security
・A Vulnerable World: RiskIQ's Unique View of the Microsoft Exchange Landscape | RiskIQ
・全国初摘発「ドメイン名ハイジャック」　サイト乗っ取り金要求　京都府警、容疑で男２人逮捕｜社会｜地域のニュース｜京都新聞
・ドメイン名ハイジャックに備えよ! コインチェックの対応から得られた教訓 – 情報セキュリティ事故対応アワード2020受賞レポート｜セキュリティ｜IT製品の事例・解説記事
・The Hijacking of Perl.com
・Fire at Our Strasbourg Site
・3.6 million websites taken offline after fire at OVH datacenters | Netcraft News
・Octave Klaba on Twitter: "Update 11 mars 16h40 It's too slow to give you all the information with just 280 chars. Here, my video with 8min of information we have today. https://t.co/qjm3Vs0Ho2 https://t.co/xTb09wmXJ0" / Twitter
・OVH data center fire likely caused by faulty UPS power supply
・Rust on Twitter: "Update: We've confirmed a total loss of the affected EU servers during the OVH data centre fire. We're now exploring replacing the affected servers. Data will be unable to be restored." / Twitter
・Ransomware Uncovered 2020/2021
・Would You Exchange Your Security for a Gift Card? | Trustwave
・従業員へ賄賂を渡し脅迫目的で不正アクセスを企んだ米国の事件についてまとめてみた – piyolog
・勝手に送金する悪質なCD-ROMが再び確認，今度は北陸銀行をかたる | 日経クロステック（xTECH）
・Accellion Incident Information Center
・メイトーのなめらかプリン【協同乳業】

辻伸弘メモ：

生活が楽になってきた。温泉の素で我慢。リングフィットランサム。やう゛ぇえランサム。注目ってなんだ。パスワードがorange。週刊Exchange Server。国内初のドメイン名乗っ取りの検挙。自分のウェブサイトの更新をはじかれた。コラかと思うくらいの火災。事故対応として偉い人が動画で報告。クラウドにあるからという安心はいけない。なんでも丸投げは痛い目を見る。ランサム業界最大手。マルチOS対応。ウェア取れる。ヤな予測は外れて欲しい。なんねん。カスタマーチャットしてみた。スーザンありがとう。

収録日: 2021年3月13日

Podcast: Play in new window | Download

Subscribe: RSS

【関連記事】

・How I Could Have Hacked Any Instagram Account – The Zero Hack
・How I Might Have Hacked Any Microsoft Account – The Zero Hack
・CL0PによるAccellion FTAの脆弱性利用事件メモ | (n)inja csirt
・Three Top Russian Cybercrime Forums Hacked — Krebs on Security
・Exchange Server のセキュリティ更新プログラムの公開 (定例外) – Microsoft Security Response Center
・HAFNIUM targeting Exchange Servers with 0-day exploits – Microsoft Security
・Yurika on Twitter: "3/3定例外で公開したExchangeのセキュリティ更新プログラムについて、日本語でのブログを公開しました。攻撃が確認されております、オンプレミスのExchangeをご利用の環境は何卒早めに適用をお願いいたします。Exchange Onlineは影響ありません https://t.co/ntZYaDJgMl" / Twitter
・At Least 30,000 U.S. Organizations Newly Hacked Via Holes in Microsoft’s Email Software — Krebs on Security
・Orange Tsai 🍊 on Twitter: "Just report a pre-auth RCE chain to the vendor. This might be the most serious RCE I have ever reported! Hope there is no bug collision or duplicate😝" / Twitter
・ProxyLogon
・Operation Exchange Marauder: Active Exploitation of Multiple Zero-Day Microsoft Exchange Vulnerabilities | Volexity
・cyber.dhs.gov – Emergency Directive 21-02
・Mitigate Microsoft Exchange Server Vulnerabilities | CISA
・Microsoft Exchange Server Vulnerabilities Mitigations – updated March 6, 2021 – Microsoft Security Response Center
・谷中農園のいちご「スカイベリー」 | 谷中農園

辻伸弘メモ：

いつもよりながめがいい左。フォフォフォフォってなる。3時間Clubhouse。セキュリティタイタニック。一年で一番のオクパード。ただの長になる。話題になってない脆弱性とは。エレガントな総当たり。ロックされるまでが普通という間隔は普通ではない。今回は週刊ではないのでRansom Walker。Accellion持って行かれる。ただのランサム。0day大盤振る舞い。渾身の一撃。縦読みせーへんわ。やべぇヤツ。何卒インディケータ「ゆりこん」。ほぼヤバい。止める,切り離すの判断をできるように。

収録日: 2021年3月6日

Podcast: Play in new window | Download

Subscribe: RSS