日本では6,801ユーザーがStealer(Redline、Raccoon、Vidarなど)に感染しています。
.jpドメインにアクセスするための認証情報58,198件が流出し、ダークウェブやディープウェブに分散しています。
流出元となる主なjpドメイン一覧
マルウエア脅威レポート / Stealer Malware Intelligence Report - Japan(転載)
サイバー攻撃者に防弾サービスを提供するプロバイダ "Shinjiru” / “Offshore” Shinjiru Provides Bulletproof Services to Cyberattackers(転載)~「Shinjiru」を「信じる」!?~
防弾ホスティング(BPH)は、インターネットを利用した犯罪行為に対応するためのサービス提供の集合体である。脅威のインフラに頻繁に登場する「Shinjiru」もその一例です。このマレーシアのホスティング会社は、顧客とそのウェブコンテンツおよびサーバーをテイクダウン要求から保護し、疑わしい活動や不正な活動のためのセーフハーバーとして機能しています。
シンジルのIPスペースは、マルウェアの配布、詐欺、フィッシング、ビジネスメールの漏洩など、様々な悪質行為に利用されてきた経緯があります。このICANN公認レジストラは、APNICから2万を超えるIPアドレスを割り当てられ、マレーシアに自社のデータセンターを保持しています。
私たちは、Shinjiruによって促進された悪意のある活動のいくつかの例を調査し、ホスティング会社が所有するインフラストラクチャを強調しました。また、Shinjiruと他の防弾ホスターとのつながりも検証しています。
Shinjiru:「オフショア」ホスティングプロバイダー
Shinjiru Technology Sdn Bhdはマレーシアのホスティング会社で、自治体番号AS45839で運用される21504のIPアドレスと、他のホスティングプロバイダーから借りている追加のIPレンジを割り当てられています。防弾プロバイダは、しばしばグレーゾーンで活動し、不正利用の苦情やテイクダウン要求がある中で、ホストしている違法な活動を妨害されないようにしながら、合法的に見せかけようとするものです。
Shinjiruは、顧客の匿名性を維持し、顧客とそのウェブコンテンツおよびサーバーをオフラインから保護することに焦点を当てた「オフショア」ホスティングプロバイダーであると自称しています。同社のウェブサイトには、「DMCAやテイクダウン要求を無視する...オフショア管轄として、Shinjiruは世界中のあらゆるタイプの匿名ホスティングを提供することができる」と書かれています。
Shinjiruの場合、"オフショア "とは "防弾 "を意味します。このウェブサイトは、潜在的な顧客に対して、彼らが効果的な法執行や規制措置の手の届かないところにいるというシグナルとして、この言葉を強調している。ビットコインホスティングのページだけでも14回も登場している。
Shinjiruのドメイン登録ページでは、どのトップレベルドメイン(TLD)がICANNの下になく、米国の法律の適用を受けないかを紹介しています。.comを除くすべてのTLDが、"DMCAシャットダウンなし "と "検閲なし "を約束しています。
また、マレーシア、ブルガリア、オランダ、香港、リトアニア、ルクセンブルグ、ロシア、シンガポールの8つの「オフショア」でもホスティングサービスを提供することが可能です。
この防弾プロバイダーのサポートポータルは、もしそうせざるを得なくなった場合、顧客の活動を中断させる前に警告するようあらゆる努力をすることを再確認し、SpamHausのリスト回避に関するガイダンスさえ提供しています。
Shinjiruは、悪意のある活動のためにホスティングサービスを提供した過去があります。例えば、OceanLotus(APT32)は、Shinjiruのウェブサイトを利用して悪意のあるドメインを登録しました。2018年、CiscoのAndrea Kaiserは、マルウェアのコマンド&コントロール(C2)ドメインをサービスするネームサーバーを特定し、悪意のあるボットネットにFast Flux DNSを提供するブログを公開しました。
2020年、アラバマ大学バーミンガム校のコンピュータ・フォレンジック研究部長であるゲイリー・ワーナーは、自身のブログで、違法なオピオイドやフェンタニルを販売するウェブサイトの調査について記事を書きました。彼とUABの法医学プログラムの責任者であるElizabeth Gardner博士は、Verdina Ltd.という会社に所属するShinjiruを通じて登録され、ホストされている薬物販売サイトの一群を発見したのです。
Verdina Ltd.はベリーズで登記されているが、ブルガリアにもあるようだ。VerdinaはそのIPブロックのいくつかをShinjiruにレンタルしている。Verdinaの他のブロックのほとんどは、theOnionHostやRackSrvr LTDのような他の疑わしいホスティング事業体にレンタルされています。
Warner氏は、同ネットブロックにおける追加の悪質な活動として、Shinjiru IPアドレスでホストされる複数のサブドメインとネームサーバーのクラスターを指すフィッシングや税金の還付詐欺などを取り上げました。また、Warner博士は、これらのネームサーバーは、ビジネスメール詐欺(BEC)を行う詐欺師グループによって使用されているとしています。
Shinjiruのライブサポートサイト「247livesupport.biz」での最近の投稿から、Shinjiruがこれらのドメインと関連するネームサーバーに加え、他のいくつかのドメインとネームサーバーを直接運営していることが確認されており、RiskIQ TIPで確認することができます。これらのネームサーバーは、何千ものドメインに接続しており、その多くが明らかに悪意のある目的であることがわかります。
今回の調査で判明した「Shinjiru」に関連する脅威のインフラは、RiskIQのThreat Intelligence Portalのこちらでご覧いただけます。
週刊OSINT 2021-48号 / WEEK IN OSINT #2021-48(転載)
ストリートビューとシェード、ドメイン、ジョブ、マップなど、今回も素敵に満たされたニュースレターです。
今号も盛りだくさんのトピックで、ニュースレターをお届けします。これから登場するサイトやヒントを探索するのが楽しくて、もっと時間があれば全部遊びたいくらいです。トップの画像は侵入されてメッセージを残されちゃった無防備で残念なウェブカメラの映像です。
- Street View Applications
- Shademap
- OSINT Jobs
- Domains
- World of Wigle
- IPVM Camera Calculator
- Maps, Maps and More Maps!
メディア: Street View Applications
Benjamin Strickは先週、ストリートビューアプリケーションが捜査にどのように利用できるかを紹介する新しいビデオをアップロードしました。Googleのストリートビューだけでなく、Googleが存在感を示さない地域で役に立つかもしれない代替手段も紹介しています。
サイト: Shademap
Twitterユーザーの@truted2が、特定の場所、特定の日時に影が落ちる様子を見ることができるインタラクティブマップを作成しました。Shademapは全てブラウザ上で動作し、Mapboxの3Dデータセットをソースとして使用しています。この素晴らしいツールを作ってくれて、ありがとうございます
サイト: OSINT Jobs
かなり待たされましたが、ようやく本番です。Loránd Bodóは、OSINT Jobsというサイトが正式にオープンしたことを伝えました。このサイトでは、インテリジェンスの分野におけるさまざまな仕事と、今後予定されているポッドキャスト、そしてより多くの記事を紹介する予定です。
小技: Domains
White Hat Inspectorは先週、DMNSというサイトで、15種類のTLDの中から類似したドメインを簡単に見つけることができるという、素晴らしいヒントを紹介してくれました。ドメイン名を入力するだけで、どのサイトが似ているか、あるいは全く関係ないかを素早く確認することができます。また、スクリーンショットや技術的な情報も掲載されています。このサイトを紹介してくれてありがとうございます。
記事: World of Wigle
公開前に@Ginger__Tさんの記事を読ませていただきました。私はWigleのファンであるだけでなく、Gingerが共有する詳細な情報が大好きです。SSID、MACアドレスの検索方法に関する基本的なステップに加え、一部の人が認識していなかったBluetoothデータセットにも触れています。もしあなたがWiFiデータセットの世界に初めて足を踏み入れるなら、この記事を読んでみてください。
IPVMはビデオ監視のための独立したプラットフォームで、そのウェブサイトではさまざまな情報を提供しています。そしてBen Heublは、そのサイトで「カメラ計算機」という素晴らしいツールを見つけました。これは、カメラとその角度、解像度をプロットできるツールで、状況をプロットすることができます。また、カメラに関する大規模なデータベースがあり、事前に設定された情報を使って、撮影可能な画像の品質について良いアイデアを得ることができます。
リンク: Maps, Maps and More Maps!
Twitterユーザーの@ohshint_さんが先週、素晴らしい地図のリストをシェアしてくれました。もし、あなたが何かに必要な地図があるのなら、この果てしないリソースのリストを見てみてください。私が2017年のフォレンジッククイズのステージの1つを作るのに使ったサイトもありますよ。素晴らしいリストです!これをキュレーションしてくれてありがとう。
航空機内で飲んで大騒ぎのカナダのパリピ、航空会社に搭乗拒まれてメキシコから帰国できず
カナダからメキシコのカンクンへ向かう旅客機の機内でマスクをせずに飲酒したり電子たばこを吸ったりして大騒ぎしていたグループが、帰国便への搭乗を拒まれてメキシコで足止めされている。
帰国できなくなっているのは「プライベートクラブ」主催のツアーに参加した一行で、2021年12月30日にカナダのサンウィング航空が運航するチャーター便に搭乗して、カナダのモントリオールからカンクンへ向かった。
しかし機内の通路で踊ったり飲酒したりしている乗客の動画が出回って憤りの声が噴出し、カナダ運輸省が調査に乗り出した。乗客には多額の罰金などが科される可能性がある。
カナダのジャスティン・トルドー首相は2022年1月5日、「激しい憤り」を覚えると述べ、「無責任さで自分たち自身や同乗者、乗務員を危険にさらす人たちを見て打ちのめされた」と語った。
ツアーを企画したトリップワンのジェームズ・ウィリアム・アワド社長は6日、「多くの人が現状に腹を立てている理由は認識している」とツイートした。
サンウィング航空は、同航空が提示した条件に一行の同意が得られなかったとして、2022年1月5日に予定していた帰国便の運航を中止した。
アワド社長によると、帰国便をめぐるサンウィングとの交渉でネックとなったのは機内サービスの内容だった。アルコール飲料を出さないなどの条件には同意したが、機内食も出さないとした条件には同意できなかったとしている。
エア・カナダやエア・トランザットも、同乗する乗客や乗員の安全を理由に、この一行の帰国便への搭乗は認めないと表明した。
アワド社長は、ツアーの参加者全員をできるだけ早く帰国させるために尽力するとしている。
アンカリングとは(転載)
アンカリングとは認知バイアスの一種であり、先行する何らかの数値(アンカー)によって後の数値の判断が歪められ、判断された数値がアンカーに近づく傾向のことをさす。係留と呼ばれることもある。
例えば、「国連加盟国のうちアフリカの国の割合はいくらか」という質問をしたときに、質問の前に「65%よりも大きいか小さいか」と尋ねた場合(中央値45%)、「10%よりも大きいか小さいか」と尋ねた場合(中央値25%)よりも、大きい数値の回答が得られるという。
また、数値を明確に提示しなくてもバイアスは生じる。「8×7×6×5×4×3×2×1」または「1×2×3×4×5×6×7×8」という計算の結果を、5秒以内に推測してもらった場合、前者(中央値2,250)のほうが後者(中央値512)よりも大きい推測の値が得られたという(正答は40,320)。
また、日本語話者が「ピザ」と10回言わされた後に、肘(ひじ)を指差して「ここは?」と問われた際に「ひざ」と答えてしまう現象も、アンカリングである。
他の例に、ダン・アリエリーが、ニューヨーク・タイムズによるベストセラー本に選出された著書『予想どおりに不合理』で挙げたものがある。まず講義の聴衆に対し、彼らの社会保障番号の下2桁と同じ値段(ドル)で、ワインやチョコレートなど6種の品物を買うかどうかを質問した。その後、その品物に最大でいくら払えるかを質問したところ、社会保障番号の下2桁の数字が大きい人ほど、高い値段で買おうとする傾向が見られた。
2021年のループイフダンの利益。年間データまとめ~ループイフダンは目標利益からどれだけリスクを取るかを考える~
2021年のループイフダンの利益データが出た。
個人的にループイフダンはリスクベースの投資手法だと思う。
利益をたくさん求めるのであれば相応のリスクを取らなければならない。
1000通貨当たりの利益は実績データがあるため、自分の投下資金の何%を利益とするか比較的計画を立てやすい。
例えば、資金600万を投じて4%の利益を求めたければ年間目標利益は24万円、それを実現するためには、ドル/円の場合、15Bを1000通貨、25Bを1000通貨、50Bを1000通貨分動かせが、近い利益を期待できるということになる。
もちろん25Bを3000通貨分動かして同様の結果を得ることができる。
15Bを2000通貨分動かしてもよいが、円安に振れたときに25Bと比べて資金枯渇リスクが高くなる。
ここら辺は少し悩みどころである。
【2022年度方針】
■案1
・15B:1000通貨
・25B:1000通貨
・50B:1000通貨
■案2
・25B:3000通貨
■案3
・25B:2000通貨
・50B:1000通貨
・100B:1000通貨
ループイフダン利益・相場まとめ2021年11月
2021年11月のループイフダンの利益が出た。
25Bで稼働させた場合の利益は1,000通貨で10,250円
50Bで稼働させた場合の利益は1,000通貨で7,000円
現在のループイフダン稼働状況は25Bを2000通貨、50Bが1000通貨となる。
となると、想定利益は27,500円
実績はというと、11/1~11/30の売買益が25,909円
ん、ちと足りない(||゚Д゚)ガァァーーーン(゚Д゚||)
一方で、ループイフダン内資産に対する目標利益率(年4%≒21,558円)に対してはクリアできている。
引き続き25B 2000通貨、50B 1000通貨で継続しようと思う。
[KALI LINUX] SET:Social-EngineerToolkit
Social-Engineer Toolkit (SET)は、特に人間の要素に対して高度な攻撃を行うために設計されています。SET は David Kennedy (ReL1K) によって書かれ、コミュニティからの多くの支援によって、これまでにない攻撃が組み込まれたエクスプロイト・ツールセットになりました。このツールキットに組み込まれた攻撃は、侵入テストで使用する人物や組織に的を絞った攻撃となるように設計されています。
これまで見てきた手法のほとんどは、サーバー側の脆弱性や設計上の欠陥を突いて、そこにアクセスし、データベースから情報を抜き出そうとするものです。 また、サーバーを利用して、ユーザーのソフトウェアの脆弱性を突いたり、ユーザーの持っている情報にアクセスするために、通常しないようなことをさせようとする攻撃もあります。 これらの攻撃はクライアントサイド攻撃と呼ばれる。
本章では、ソーシャルエンジニアリング、スプーフィング、ソフトウェアの脆弱性を悪用し、攻撃者がクライアントから情報を取得するために使用するテクニックをいくつか紹介します。
特にウェブアプリケーションの侵入テストとは関係ありませんが、ほとんどがウェブベースであり、クライアントを攻撃する際にアプリケーションやサーバにアクセスすることができる非常に一般的なシナリオであるため、取り上げることにしました。 そのため、侵入テスト担当者は、攻撃者がどのようにこれらのタイプの攻撃を実行するかを理解することが非常に重要です。
SETでパスワードコレクターを作成する
ソーシャルエンジニアリング攻撃は、クライアントサイド攻撃の特殊な形態と考えることができます。 このような攻撃では、攻撃者はユーザーに、攻撃者が信頼できるコピーであり、ユーザーが所有するある情報を受け取る権利があると確信させる必要がある。
SET(Social-EngineerToolkit)は下記を参照ください。Kali Linux2021.4から追加されています。
このレシピでは、SET を使ってパスワード・コレクターの Web ページを作成し、それがどのように機能するか、また攻撃者がそれを使ってどのようにユーザのパスワードを盗むことができるかを見ていきます。
操作手順
- ルート端末で、次のコマンドを入力します。
sudo setoolkit
- set>プロンプトに1(Social-Engineering Attacks)と入力し、Enterキーを押します。
- 次に、「Web Site Attack Vectors」(オプション2)を選択します。
- 次に、「Credential Harvester Attack Method」(オプション3)を選択します。
- 次にSite Cloner(オプション2)を選択します。
- Harvester/TabnabbingにPOSTバックするためのIPアドレスを要求されます。これは、収集した証明書の送信先のIPを意味します。ここでは、KaliホストのIP (例:192.168.56.1)を入力します。
- 以下、プレッサーフットがクローンするURLを聞いてくるので、対象サイトのログインフォームをクローンします。
例)http://192.168.56.102/peruggia/index. php?action=login - これでクローン作成が始まり、その後SETがApacheサーバーを開くかどうか尋ねられるので、今回はYesを選択してyと入力してEnterを押してみましょう。
- もう一度エンターキーを押します。
- http://192.168.56.1/ にアクセスして、ページをテストしてみましょう。
これで、元のログインページの正確なコピーができました。 - ここで、いくつかのユーザー名とパスワードを入力し、「Login」をクリックします。ここでは、「harvester/test」を試してみます。
- 元のログインページにリダイレクトされることが確認できます。 ここで、ターミナルに移動し、コレクターファイルが保存されているディレクトリ(Kaliではデフォルトで/var/www/ htmlになります)を入力します。
cd /var/www/html - harvester_{日時}.txtというファイルがあるはずです。
- その内容を表示すると、次のようにすべての情報が取り込まれていることがわかります。
cat harvester_2015-11-22 23:16:24.182192.txt
これで終わりです。あとはターゲットに接続を送り、偽のログインページにアクセスさせて、パスワードを収集するだけです。
動作原理
SETはサイトのクローンを作成する際に3つのファイルを作成します。まずindex.html。これは元のページのコピーで、ログイン・フォームが含まれています。 今回のKaliで、/var/www/htmlにSETで作成したindex.htmlのコードを見てみると、以下のようなコードになっていることがわかります。
ここでは、ユーザー名とパスワードが192.168.56.1(Kaliホスト)に送られたことが、SETが作成した2番目のファイルであるpost.phpで確認できます。 このファイルが行うのは、POSTリクエストの内容を読み取り、harvester_{date and time}.txtファイルに書き込むだけです。SETが作成する3つ目のファイルには、ユーザーから送信された情報が保存されます。 データをファイルに書き込んだ後、<meta>タグは元のログインページにリダイレクトするため、ユーザーは間違ったユーザー名やパスワードを入力したと思ってしまいます。
【参考(YouTube動画)】
登録:
投稿 (Atom)