by AI
1. VanHelsingとは VanHelsingは2025年3月7日に出現したRansomware-as-a-Service(RaaS)プログラムである[1][2]。RaaSとは、ランサムウェアの開発・運営を行う「オペレーター」と、実際の攻撃を実行する「アフィリエイト」が利益を分配するビジネスモデルで…
1. 本文書について 本文書は、VanHelsingランサムウェアのリークされたソースコードのうち、Builderコンポーネント(Locker/Loader/Decrypterのビルド・パッケージング・C2連携モジュール)の技術解析である。 1.1 解析対象の位置づけ # コンポーネント 役割…
1. 本文書について 本文書は、VanHelsingランサムウェアのリークされたソースコードのうち、Brewriterコンポーネント(MBRブートレコード書き換えモジュール)の技術解析である。 1.1 解析対象の位置づけ # コンポーネント 役割 本文書の対象 1 Locker ファ…
1. 本文書について 本文書は、VanHelsingランサムウェアのリークされたソースコードのうち、Decrypterコンポーネント(暗号化ファイルの復号モジュール)の技術解析である。 1.1 解析対象の位置づけ # コンポーネント 役割 本文書の対象 1 Locker ファイル暗…
1. 本文書について 本文書は、VanHelsingランサムウェアのリークされたソースコードのうち、Loaderコンポーネント(暗号化ペイロードの復号・メモリ内実行モジュール)の技術解析である。 1.1 解析対象の位置づけ # コンポーネント 役割 本文書の対象 1 Lock…
1. 本文書について 本文書は、VanHelsingランサムウェアのリークされたソースコードのうち、Lockerコンポーネント(ファイル暗号化モジュール)の技術解析である。 1.1 解析対象の位置づけ VanHelsingのリークアーカイブには、以下の5コンポーネントのソース…
参考URL Infoblox DNS C2調査レポート: https://www.infoblox.com/blog/security/dns-a-small-but-effective-c2-system/ 学術論文(PMC): https://pmc.ncbi.nlm.nih.gov/articles/PMC10007605/ Sliver DNS C2 Wiki: https://github.com/BishopFox/sliver/wi…
github.com ファイル構成と概要 GlytchC2-main/ ├── attacker/ │ ├── attacker.py ... Attacker側メイン(コマンド送信・ストリーム録画・デコード制御) │ ├── crawler.py ... Twitch配信URL取得 + ffmpegフレームキャプチャ │ ├── decoder.py ... グレース…
![はてなブックマーク - GlytchC2 詳細技術解析 [概要]](https://b.hatena.ne.jp/entry/image/https://www.scarlet-tactics.red/entry/2026/03/13/225159)
github.com ファイル構成と概要 GlytchC2-main/ ├── attacker/twitch_chat_irc.py ... Attacker側のコピー(victim側と完全同一) ├── victim/twitch_chat_irc.py ... Victim側のコピー ├── attacker/example.env ... Attacker側 Twitch認証情報テンプレート…
![はてなブックマーク - GlytchC2 詳細技術解析 [twitch irc]](https://b.hatena.ne.jp/entry/image/https://www.scarlet-tactics.red/entry/2026/03/13/224736)
github.com ファイル構成と概要 GlytchC2-main/attacker/ ├── attacker.py ... Attacker側メインスクリプト(コマンド送信・ストリーム録画・デコード制御) ├── crawler.py ... Twitch配信URLの取得とフレームキャプチャ ├── decoder.py ... グレースケール…
![はてなブックマーク - GlytchC2 詳細技術解析 [attacker]](https://b.hatena.ne.jp/entry/image/https://www.scarlet-tactics.red/entry/2026/03/13/224640)
github.com ファイル構成と概要 GlytchC2-main/victim/ ├── victim.py ... Victim側メインスクリプト(C2コマンド受信・実行・配信制御) ├── encoder.py ... データ→グレースケール画像変換(ステガノグラフィエンコーダ) ├── twitch_chat_irc.py ... Twit…
![はてなブックマーク - GlytchC2 詳細技術解析 [victim]](https://b.hatena.ne.jp/entry/image/https://www.scarlet-tactics.red/entry/2026/03/13/224520)
カテゴリ別ツール一覧 ランサムウェアアクターが使用する持ち出しツールの大半は、正規のIT運用で使われるデュアルユースツールであり、EDR による検知を回避しやすい [1][2][3]。ReliaQuest の分析(2023年9月〜2024年7月)では、Rclone が全インシデントの…
github.com 1. ツール全体の目的と攻撃フロー 2. ファイル構成と役割 3. ntdefs.h — 未公開API定義の意図 UNICODE_STRING構造体(ntdefs.h 4-9行目) SYSTEM_PROCESS_ID_INFORMATION構造体(ntdefs.h 11-15行目) SYSTEM_INFORMATION_CLASS列挙型(ntdefs.h …
github.com 概要 攻撃フロー全体像 コア技術:Windows Bind Filter(bindfltapi.dll) Bind Filter とは何か なぜ Bind Filter が EDR 妨害に有効なのか コード上の実装(EDRStartupHinder.cpp 13–18行目) BindLnk.h の型定義と引数の意味 DLL の「改ざん」…
github.com 1. ツール概要と攻撃コンセプト 1.1 攻撃の本質 1.2 ファイル構成と役割 2. エントリポイント:wmain() 2.1 SeDebugPrivilegeの有効化 2.2 メインスレッドID取得とFreezeRun呼び出し 3. 権限昇格:EnableDebugPrivilege() 3.1 トークン取得 3.2 L…
github.com 1. プロジェクト概要 2. Implant (エージェント) 詳細 2.1 エントリポイントとライフサイクル ビルド形態 起動シーケンス (entry.rs: start_wyrm()) カスタムアロケータ (utils/allocate.rs) 2.2 コンパイル時設定の埋め込み (utils/comptime.rs,…
github.com このリポジトリはBYOVD (Bring Your Own Vulnerable Driver) 攻撃手法の研究資料です。以下、セキュリティ専門家向けに深掘りした技術解説を行います。 技術的知識追加: BYOVDとは? BYOVDは、攻撃者が正規の署名付きだが脆弱なドライバをシステム…
