弁財天

ゴフマン「専門家を信じるのではなく、自分自身で考えて判断せよ」

FILE-OFFICE Microsoft Office Excel ObjBiff exploit attempt [**] [Classification: Attempted User Privilege Gain] [Priority: 1] {TCP} update4

11/05-08:34:12.744190  [**] [1:19200:10]   FILE-OFFICE Microsoft Office Excel ObjBiff exploit attempt [**] [Classification: Attempted User Privilege Gain] [Priority: 1] {TCP} 203.211.187.173:110 -> 192.168.x.54:65447
10/30-10:25:28.468346  [**] [1:19200:10]   FILE-OFFICE Microsoft Office Excel ObjBiff exploit attempt [**] [Classification: Attempted User Privilege Gain] [Priority: 1] {TCP} 203.211.187.173:110 -> 192.168.x.34:54968
10/30-10:33:44.838105  [**] [1:19200:10]   FILE-OFFICE Microsoft Office Excel ObjBiff exploit attempt [**] [Classification: Attempted User Privilege Gain] [Priority: 1] {TCP} 203.211.187.173:110 -> 192.168.x.55:50993
10/30-11:56:34.140641  [**] [1:19200:10]   FILE-OFFICE Microsoft Office Excel ObjBiff exploit attempt [**] [Classification: Attempted User Privilege Gain] [Priority: 1] {TCP} 203.211.187.173:110 -> 192.168.x.32:1143
4人やられた。

203.211.187.173:110 -> 192.168.x.54:65447
はぁ?

# nslookup 203.211.187.173
Server:		192.168.x.1
Address:	192.168.x.1#53

Non-authoritative answer:
173.187.211.203.in-addr.arpa	name = r1.x323v.smilestart.ne.jp.

Authoritative answers can be found from:

# 
よく見ると、うちの会社で使ってるメールサーバのPOP3応答が攻略されてるじゃまいかw
# LANG=C whois -H -h whois.cymru.com -v 203.211.187.173
Warning: RIPE flags used with a traditional server.
AS      | IP               | BGP Prefix          | CC | Registry | Allocated  | AS Name
7671    | 203.211.187.173  | 203.211.160.0/19    | JP | apnic    | 2004-06-10 | MCNET NTT SmartConnect Corporation,JP
# 
MCNET NTT SmartConnect Corporation,JP

メールサーバ(POP3)を感染プロキシにしたのか。やるなー。NTT。

snort/rules/file-office.rulesに引っかかったのか。

; reference:cve,2011-1276; reference:url,technet.microsoft.com/en-us/security/bulletin/MS11-045; classtype:attempted-user; sid:19229; rev:10;)
drop tcp $EXTERNAL_NET $FILE_DATA_PORTS -> $HOME_NET any (msg:"FILE-OFFICE Microsoft Office Excel ObjBiff exploit attempt"; flow:to_client,established; flowbits:isset,file.xls; file_data; content:"|5D 00|"; content:"|00 14|"; within:8; content:"|00 01 06 00 00|"; within:55; byte_test:1,!,0x02,0,relative,little; metadata:policy balanced-ips drop, policy security-ips drop, service ftp-data, service http, service imap, service pop3; reference:cve,2011-1272; reference:url,technet.microsoft.com/en-us/security/bulletin/MS11-045; classtype:attempted-user; sid:19200; rev:10;)

MS11-045 - 重要
Microsoft Excel の脆弱性により、リモートでコードが実行される (2537146)
これだ。

CVE-2011-1275
もはやエクセルは感染プロキシのPC側連携部品だな。

X-Virus-Status: clean(F-Secure/fsigk_smtp/500/vs-node04-vm01.private.hosting-pf.net)
Received: from xx01 (p123456-ipngn123456gifu.gifu.ocn.ne.jp [x.x.x.x])
    by sm-x323v.smileserver.ne.jp (mail) with ESMTPA id 8B9F58C92;
    Thu, 5 Nov 2015 08:22:51 +0900 (JST)
あ、いま話題のぱよぱよちーんのF-Secureがウィルスチェックしてるw

ひょっとしてこれってエフセキュアの評判を落とすためにやったの?

で、今はどんな時代かとゆーとだな。

細工したBGPルーティングで感染サーバーはIPアドレスすら必要としない。

Re: Active/{assive capabilities(2014-01-16 14:18:27 UTC)

Dear Menachem,
sorry for the late reply. Let me still wish you a happy new year!
Regarding our needs, we need to verify upfront a single requirement: to have a realtime copy of the Internet traffic of the phone, and be able to inject a TCP packet into this traffic, correctly routed.
Is this possibile? If yes, I will involve our mobile development team to assess any active capability we can build on top of this. Moreover, I would like to understand also the possibility of interacting with a phone operating system (Android, iOS) by using the plain GSM network (no Internet connectivity), other than the standard functions.
Thank you,Daniele
--
Daniele Milan
Operations Manager
「to have a realtime copy of the Internet traffic of the phone, and be able to inject a TCP packet into this traffic, correctly routed.」
「正しくルーテイングされてる電話のインターネット通信をリアルタイムにコピーし、このトラッフィクにTCPパケットを注入可能にする技術」を2014年1月にダニエル・ミラノが探していた。

IPアドレスには何の意味もなくなってる。流れてるTCPパケットをリアルタイムに改ざんできるようになったのかーも。

http://asianews2ch.jp/archives/46832208.html

日本製の部品にバックドアw なんかものすごい話になってきたな。

エフセキュア導入事例 1 - 龍谷大学
あ!POP3 www

これで起きてたことが全てつながったわ。土人がPOP3の検出エンジンにバックドア仕掛けてるんだわ。

投稿されたコメント:

コメント
コメントは無効になっています。