ところてん@tokorotenなんでLANケーブルを引っこ抜くだけじゃなくて、電源ケーブルも引っこ抜くかというと、マルウェアを制御するためのコントロールサーバとの通信が一定期間できなくなったら、自身とその痕跡を消去する、みたいなコードになっていることがあって、LANを抜いただけだと証拠隠滅される可能性がある
2024-06-14 17:56:40ところてん@tokoroten基本はメモリフォレンジックのために、電源は入れたままのほうが良いですメモリ上に残っている攻撃の痕跡を残す必要がありますただ、電源を入れたままだと証拠隠滅するやつもいるので、電源を切ったほうがいいケースもある、という話です
2024-06-14 20:09:23たかひー@mk2takasanこれシャットダウン時にも証拠隠滅される恐れがあるからケーブルぶち抜きしたんやろなあ……無念すぎるx.com/tokoroten/stat…
2024-06-14 19:18:05伊藤 祐策(パソコンの大先生)@ito_yusakuこれをもしshutdownコマンドでやった場合、不正プロセスはそれを感知出来るので証拠隠滅処理を走らせることができちゃうんだよね。だから電源引っこ抜きは正解。しかしよくそんな判断できたな。x.com/tokoroten/stat…
2024-06-15 08:20:34B.milligan(ビリガン) ⋈@コミティア150【 東6 つ01b】ありがとうございましたm(@dumtefr@tokoroten 電源コード引っこ抜くの、めちゃくちゃ勇気が必要だったろうなー。
2024-06-14 19:55:01Madmax@madmax99993なんか本当奇妙な動きするみたいね。ワザと存在しえない、めちゃくちゃなドメインにDNSクエリ出して答えが返ってきたら「自分はサンドボックスに閉じ込められた。」って判断して休眠状態に入るやつとか。x.com/tokoroten/stat…
2024-06-14 20:54:22ゲヌポ@8qb4シ𠂢@greatgenpreyつまりマシンそのものを停止させなければならないそれも強制停止で(通常停止だと隠滅される可能性がある)x.com/tokoroten/stat…
2024-06-14 18:48:54Toshitaka Miura@tdmiura@tokoroten 仮想マシンが起動できるような裏側の管理ネットワークにまで入られていると、近辺のセグメントに物理サーバのライツアウトマネジメント(iLOとかiDRACとかBMCとか)があったりして物理の電源ONが遠隔でできたりするのもあるかな。ライツアウトマネジメントを殺すには電源コードを抜くしかない。
2024-06-14 19:45:52サンタナ@santana08642ちなみに「電源ケーブルを抜く」は文字通り引っこ抜きます。shutdownコマンドを叩くことで証拠隠滅する奴がいるので。引用:名古屋大学 情報基盤センターよりpic.twitter.com/yR1PxXtQSZx.com/tokoroten/stat…
2024-06-14 20:49:10📕「マルウエアの教科書」著者 | 吉川孝志 | 増補改訂版🌟発売中@MalwareBibleJPシャットダウンされたPCをリモートから Wake-On-Lan(WOL)で強制起動させ暗号化する手口は昔から様々なランサムウェア(ThanosやLockbit等)に使われてきました。今から5年前に書いたブログですが、Ryukを題材に詳細解説してますのでご参考に。mbsd.jp/research/20191…ランサムウェアの系統図はこちらから💁x.com/malwarebiblejp…
2024-06-14 20:14:49かるらんど(,,☪️‸ Ծ,, )@XEQSX自身の痕跡を消去するプロセスプログラム。今流行りのPythonかと思いきやUNIX系やbashだったりして「トロイのおかわり木馬」みたいな挙動するx.com/tokoroten/stat…
2024-06-14 20:17:33Hiroshi Matsumura@hmatsumu@tokoroten DOSの時代、ウィルスがdebugやsymdebの起動を監視していて、「何かおかしいな」と思って、調べようとすると痕跡を消してしまうという経験をしたことがあります。今の時代はハートビートで監視したりするんですね。
2024-06-14 18:22:33閉門中@kwy8791頭悪くて理解できなかったけど、これ『スパイ大作戦』の、「なお、このテープは自動的に消滅する」と同じ話か。x.com/tokoroten/stat…
2024-06-14 20:36:44昼夜を問わず骨(E:胃薬)@hone_tyuyawotowよくある「このテープは証拠隠滅のために自動的に消滅する」と同じ挙動するんだなx.com/tokoroten/stat…
2024-06-15 08:28:56Shirosan@Shirosan001攻殻機動隊の世界だな。(;^ω^) あ~、インターネット老人会会員なので最近の作品は知らない。x.com/tokoroten/stat…
2024-06-14 19:56:23たにし@🍁@novigrad221詳しくないのでこういうのを見ると攻殻!ウォチド!などと思ってしまう実際に働いてる側からすると常識なんだろうけども…x.com/tokoroten/stat…
2024-06-14 20:23:48wakadori@wakadori_Mk2ジョニーライデンの帰還でリミアが生き残ったサーバーを見て「電源入れちゃだめ!それを踏み台にしてまた攻撃されるかもしれないから!」的なセリフを言ってたのを思い出して、ガンダムの世界で語られるような事象が本当に現実世界の身近な動画サイトで起こってしまうとは……恐ろしい……x.com/tokoroten/stat…
2024-06-14 19:51:41イグゼ@ykt_zero_exeはえーマルウェア側は一歩進んでるだね。>LAN抜いただけだと証拠隠滅される可能性勝手な想像だけど、メモリのダンプとって落としたほうが確実なのかねx.com/tokoroten/stat…
2024-06-15 09:50:19chano&yu@kuma06zawaメモリ容量が大きいとメモリ保全にも時間がかかるから、それよりも感染拡大を防ぐ目的で電源落としたってことかx.com/tokoroten/stat…
2024-06-14 20:43:34S (ツイートはツリー全体をご確認ください)@esumiiこれいつもメモリ保存とどっちが優先か悩むけど(幸い実経験はありません)、仮想マシン内だけなら一時停止してスナップショットとればいいんだろうかx.com/tokoroten/stat…
2024-06-15 09:51:04応募者多数により一時的に募集を停止いたします今後ともよろしくお願いします