秘密情報をダミーとなる別の情報に埋め込み、データ秘匿を実現する暗号手法。ダミー情報には、多くの場合画像データが使用されるが、音声・動画・テキストなどをダミー情報とする手法も存在するようである。
【要点】 ◎GIF画像に Python プログラムを隠蔽する攻撃 ◎Microsoft Teams を利用して通信するため、URL検査等での発見は困難 ◎実行には、あらかじめ Stager のインストールが必要 【ニュース】 ◆GIF画像にPython仕込む新たな攻撃「GIFShell」に注意、Microsoft Teamsが標的 (マイナビニュース, 2022/09/14 19:48) https://news.mynavi.jp/techplus/article/20220914-2453757/ ⇒ https://malware-log.hatenablog.com/entry/202…
【目次】 概要 【辞書】 記事 【まとめ】 【ニュース】 関連情報 概要 【辞書】 ◆ステガノグラフィー (Wikipedia) https://ja.wikipedia.org/wiki/%E3%82%B9%E3%83%86%E3%82%AC%E3%83%8E%E3%82%B0%E3%83%A9%E3%83%95%E3%82%A3%E3%83%BC 記事 【まとめ】 ◆GIFShell (まとめ) https://malware-log.hatenablog.com/entry/GIFShell 【ニュース】 ■2013年 ◆フェイスブックの写真に隠しメッセージを埋め込む「Secretboo…
セキュリティ 482 410 20 脆弱性 脅威がつけ込むことができる弱点。セキュリティホールとも。0 情報資産 企業が組織が保有している情報全般0 脅威 情報資産に損害を与える恐れ。0 物理的脅威 火災や地震、侵入者による機器の破壊や盗難など、直接的に情報資産が脅かされる脅威0 技術的脅威 ウイルス、不正アクセス、サーバへの攻撃などにより情報が漏えいしたり失われたりする脅威0 人的脅威 ミスによるデータや機器の破壊、内部犯による確信的な犯行によって情報資産が漏えいしたり失われたりする脅威0 ヒヤリハット 結果として事件・事故には至らなかったが潜在的に事件・事故につながりかねない事象を指す1 …
はじめに こんにちは、Voicyエンジニアのきーくん(@komura_c)です。 Voicyは、社内の有志メンバーによる新刊「Voicy Tech Story Vol.5」を技術書典14で頒布します! この記事では、出展情報と新刊の内容をご紹介させていただきます。 techbookfest.org 出展情報 Voicyにとって5回目の参加となる今回は、オンラインとオフライン会場へのブース出展で参加します。オフライン会場では、皆様にお会いできることを楽しみにしております! オンライン 日時 : 2023年5月20(土)〜2023年6月4日(日) 会場 : 技術書典オンラインマーケット https…
伝達したいメッセージを画像データなどのコンテンツに埋め込み,埋め込んだメッセージの存在を秘匿する技術はどれか。 CAPTCHA クリックジャッキング ステガノグラフィ ストレッチング 解答・解説 (adsbygoogle = window.adsbygoogle || []).push({}); 解答 ウ 解説 作成中 CAPTCHA作成中 クリックジャッキング作成中 ステガノグラフィ作成中 ストレッチング作成中 参考書・問題集 参考情報 分野・分類 分野 テクノロジ系 大分類 技術分野 中分類 セキュリティ 小分類 情報セキュリティ対策 出題歴 SG 平成30年度秋期 問24 前問 一覧 次…
ステガノグラフィはどれか。 画像などのデータの中に,秘密にしたい情報を他者に気付かれることなく埋め込む。 検索エンジンの巡回ロボットにWebページの閲覧者とは異なる内容を応答し,該当Webページの検索順位が上位に来るようにする。 検査対象の製品に,問題を引き起こしそうなJPEG画像などのテストデータを送信し読み込ませて,製品の応答や挙動から脆弱性を検出する。 コンピュータには認識できないほどゆがんだ文字が埋め込まれた画像を表示し,利用者に文字を認識させて入力させることによって,利用者が人であることを確認する。 解答・解説 (adsbygoogle = window.adsbygoogle ||…
4月17日、18日、19日、20日、21日、24日の合計6日間、オンラインで クトゥルフ神話TRPGを遊ばせていただきました。 遊んだシナリオはこちら。 booth.pm トドノツマリ海峡様製作の「ステガノグラフィ」です。 2PL作品でテキセで遊ばせていただきました。 久々のテキセ!!! 元々マダミスやCoCをオンラインでやる前は実はボイス通話に抵抗があり、テキスト 会話が好きだったのでテキセは本当やりやすくて大好きなのですが、周りにテキセの民 が本当いらっしゃらないこともありテキセで遊ぶ機会はとっても貴重。 テキセでしか動かせない探索者もいますし、そういう探索者を作りがちだとは思い ます。 …
はじめに Boot2Root ゴールについて 初学者に向けて プラットフォームについて 具体的な流れについて より体系的/発展的な話 より強くなるには 『探索』について 悪用される『脆弱点』について 横展開、もしくは、権限昇格をいかに行うか 『辞書』について まとめ まとめ…の前に まとめ [WIP] はじめに HackTheBox、TryHackMe、OSCPの勉強をしていてまとめていたBoot2Rootについてのナレッジをまとめていくことにした。 俗にいう一般イメージ的なハッキングというか、ハッキングされてランサムウェア被害が…みたいな過程を味わえるのがこの分野の問題になっている。 普通の…
ディジタルフォレンジックスに該当するものはどれか。 画像や音楽などのディジタルコンテンツに著作権者などの情報を埋め込む。 コンピュータやネットワークのセキュリティ上の弱点を発見するテスト手法の一つであり,システムを実際に攻撃して侵入を試みる。 巧みな話術や盗み聞き,盗み見などの手段によって,ネットワークの管理者や利用者などから,パスワードなどのセキュリティ上重要な情報を入手する。 犯罪に関する証拠となり得るデータを保全し,調査,分析,その後の訴訟などに備える。 解答・解説 (adsbygoogle = window.adsbygoogle || []).push({}); 解答 エ 解説 画像…
2021年 1月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月 2022年 1月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月 2023年 1月 2月 3月 【関連サイト】incidents.hatenablog.com 【目次】 概要 トピックス 記事 【まとめ記事】 【マルウェア】 【ランキング】 【標的型攻撃】 【スパイウェア】 【ランサムウェア】 【EK】 【ワイパー】 【バンキングマルウェア】 【トロイの木馬】 【バックドア】 【インフォスティーラー】 【ダウンローダー】 【ボットネット/ボット】 【マルウェアサービス】 【サイバー…
CTFとかBoot2Rootとか競技化(ゲーム化)されたセキュリティ関連の情報をまとめておく。 実世界では使わないこと。WriteupとかWalkthroughとか(どちらも問題解説のこと)はSecurity カテゴリーの記事一覧 - はまやんはまやんはまやんに大量にあるので、漁ってください。 CTF CTFにおけるWebセキュリティ入門とまとめ - はまやんはまやんはまやん CTFのWebセキュリティにおけるHTTP通信まとめ(HTTP, Request Smuggling, Response Splitting, HTTP2) - はまやんはまやんはまやん CTFのWebセキュリティにおけ…
【ニュース】 ◆ステガノグラフィ技術を使ったハングル(HWP)マルウェア:RedEyes(ScarCruft) (Ahnlab, 2023/02/14) https://asec.ahnlab.com/ko/47622/
この記事はCTF Advent Calendar 2022の14日目の記事です。 昨日はCTFにおけるフォレンジック入門とまとめ - はまやんはまやんはまやんでした。殴り書きですみません。 初めに 本記事では、CTFでステガノグラフィ(steganography)と言われる分野についてまとめる。 ステガノグラフィは知っているだけで解けるような問題も多くあるので、備忘も兼ねてまとめておく。 注意事項 ステガノグラフィ問題はフォレンジックというカテゴリに入っている可能性もあります -> CTFにおけるフォレンジック入門とまとめ - はまやんはまやんはまやん 本知識をそのまま実世界で使用するのは推奨…
親記事 → CTFにおけるフォレンジック入門とまとめ - はまやんはまやんはまやん ファイルフォレンジック よくわからないファイル、壊れたファイル、悪性なファイルが与えられて解析するタイプ ファイル毎にできることやツールがあるので、それを解析する技能を鍛える。ファイルごとにできることは結構決まっている 難しい問題ではファイルフォーマットをきっちり理解して解く必要がある。仕様書を読み漁ること 簡単な問題では、ファイルからデータを適切に抽出できますか? 難しい問題では、フォーマットを理解して欠損部分を復元したり、隠されたデータを取得できますか?みたいな所まで問われる フォレンジックというよりステガ…
この記事はCTF Advent Calendar 2022の13日目の記事です。 昨日はゼオスTTさんのevilなnpmパッケージでRCEでした。 最近は依存関係が多くてサプライチェーン考えるのも天文学的な感じですよね…恐ろしさをとても実感できる良記事でした… はじめに 本記事では、CTFでフォレンジック(Forensics)と言われる分野についてまとめる。 後半からは辞書的に使ってください。 注意事項 本知識をそのまま実世界で使用するのは推奨しません。ちゃんと勉強してください(自戒) フォレンジックの一分野であるような気はするが、ステガノグラフィについては記事を分けています。(毛色が違いすぎ…
このブログは別の場所でSOCにも携わっている経験のある株式会社Armorisのseanが、本人の興味範囲に基づいて収集したサイバーセキュリティ関連の出来事をまとめたものです。各出来事に関するコメントは個人の意見です。 11月1日収集 全般 他人のパスワード、1つでも知ってる? 日本に住む人の回答は アバスト調査 日本は世界平均を下回っているようですね。セキュリティ意識が高いと言うことなのでしょうか。 https://www.itmedia.co.jp/news/articles/2210/31/news101.html](https://www.itmedia.co.jp/news/artic…
【攻撃の傾向・手法】 ・Emotetの活動再開が確認されました|株式会社FFRIセキュリティ-サイバーセキュリティ、エンドポイントセキュリティ ・2022年秋のEmotetの復活を総合的に考える | Proofpoint JP ・ステガノグラフィ(Steganography)攻撃が報告される PNG画像にマルウェアを隠ぺい - ITmedia エンタープライズ ・2022年10月度 MBSD-SOCの検知傾向トピックス | 調査研究/ブログ | 三井物産セキュアディレクション株式会社 【脆弱性情報】 ・F5 fixes two remote code execution flaws in BI…
blog.applibot.co.jp
ja.wikipedia.org
gigazine.net
qiita.com
blog.trendmicro.co.jp
ascii.jp
www.security-next.com
kazuhooku.hatenadiary.org
www.trendmicro.com
