Incident Response

news

JumpCloud、「進行中のインシデント」のさなか管理者 API キーをリセット

米国に本拠を置くエンタープライズ ソフトウェア会社 JumpCloud は、複数の顧客に「進行中のインシデント」について通知しています。 注意として、同社は顧客組織を保護するために既存の管理 API キーを無効にしました。影響を受ける組織は...
news

python-registry を使用して Windows レジストリを破棄する

最近、Windows レジストリに常駐するフォレンジック アーティファクトを深く掘り下げたいと思いました。この作業をより面白くするために、お気に入りのオペレーティング システムである Linux にネイティブなツールのみを使用することに挑戦...
news

攻撃者は Heartbleed OpenSSL の脆弱性を悪用して VPN の多要素認証を回避する

「Heartbleed」の脆弱性が公開されてから 1 週間も経たないうちに、Mandiant のインシデント対応担当者は、標的型攻撃者による実際の攻撃の成功をすでに確認しています。 Heartbleed の脆弱性 (CVE-2014-016...
news

Windows コンソールのアクティビティの監視 (パート 1)

序章 インシデント対応の実行中に、Mandiant は侵害されたネットワーク上のシステムを積極的に使用している攻撃者に遭遇します。多くの場合、このアクティビティには、コマンド プロンプト、PowerShell、場合によってはカスタム コマン...