mether049-malware/malware-tech_ref_and_memo.md

# Anti-analysis
- Anti-analysisに利用されるAPI,ファイル名，プロセス名，dll，レジストリ等の一覧まとめ<br>
[Collection of Anti-Malware Analysis Tricks.(2016-10)](https://forum.tuts4you.com/topic/38931-collection-of-anti-malware-analysis-tricks/)
## Injection/Hollowing
- 正規プロセス等のアドレス空間にコードを注入することで検知や分析を妨害するTechnique
- 利用される正規プロセス：svchost.exe,explorer.exe,regsvr32.exe等
- Heaven's Gateと組み合わせて利用される場合あり
-
**ref:**<br>
- 各種Injection/Hollowingで利用されるAPIの一覧<br>
[HUNTING PROCESS INJECTION BY WINDOWSAPI CALLS (2019-11)](https://malwareanalysis.co/wp-content/uploads/2019/11/Hunting-Process-Injection-by-Windows-API-Calls.pdf)<br>
- 図で分かりやすく説明<br>
[Ten Process Injection Techniques: A Technical Survey Of Common And Trending Process Injection Techniques](https://www.endgame.com/blog/technical-blog/ten-process-injection-techniques-technical-survey-common-and-trending-process)
- プログラムベースの説明<br>
[Code & Process Injection,Red Teaming Experiments](https://ired.team/offensive-security/code-injection-process-injection)

### Dll Injection
- 正規プロセス探索->プロセスのハンドル取得->メモリ領域確保->悪性DLL注入->実行
- e.g. CreateToolhelp32Snapshot,Process32First,Process32Next->OpenProcess->VirtualAllocEx->WriteProcessMemory->CreateRemoteThread<br>
[07b8f25e7b536f5b6f686c12d04edc37e11347c8acd5c53f98a174723078c365](https://www.virustotal.com/gui/file/07b8f25e7b536f5b6f686c12d04edc37e11347c8acd5c53f98a174723078c365/detection)
### Thread Execution Hijacking
- 正規プロセス，スレッド探索->スレッドのハンドル取得->スレッド停止->メモリ領域確保->悪性コード注入->EIP書き換え->実行
- e.g. CreateToolhelp32Snapshot,Thread32First,Thread32Next->OpenThread->SuspendThread->VirtualAllocEx->WriteProcessMemory->SetThreadContext->ResumeThread
[787cbc8a6d1bc58ea169e51e1ad029a637f22560660cc129ab8a099a745bd50e](https://www.virustotal.com/gui/file/787cbc8a6d1bc58ea169e51e1ad029a637f22560660cc129ab8a099a745bd50e/detection)
### Dll Injection Using SetWindowsHookEx(Hook Injection)
- Hooking:
> Hooking is a technique used to intercept function calls. 
- SetWindowsHookEx
> - The first argument is the type of event. The events reflect the range of hook types, and vary from pressing keys on the keyboard (WH_KEYBOARD) to inputs to the mouse (WH_MOUSE), CBT, etc. 
> - The second argument is a pointer to the function the malware wants to invoke upon the event execution.
> - The third argument is a module that contains the function.
> - The last argument to this function is the thread with which the hook procedure is to be associated. 
- dll読み込み->アドレス解決->正規プロセス，スレッドの探索->フック
- e.g. LoadLibrary->GetProcAddress->CreateToolhelp32Snapshot,Thred32First,Thread32Next->SetWindowsHookEx
[5d6ddb8458ee5ab99f3e7d9a21490ff4e5bc9808e18b9e20b6dc2c5b27927ba1](https://www.virustotal.com/gui/file/5d6ddb8458ee5ab99f3e7d9a21490ff4e5bc9808e18b9e20b6dc2c5b27927ba1/detection)
### Process Hollowing
- 正規プロセス作成(サスペンド状態)->空洞化->メモリ領域確保->悪性コード注入->エントリポイント設定->実行<br>
- e.g. CreateProcess->ZwUnmapViewOfSection(NtUnmapViewOfSection)->VirtualAllocEx->WriteProcessMemory->SetThreadContext->ResumeThread<br>
[eae72d803bf67df22526f50fc7ab84d838efb2865c27aef1a61592b1c520d144](https://www.virustotal.com/gui/file/eae72d803bf67df22526f50fc7ab84d838efb2865c27aef1a61592b1c520d144/detection)
### APC Injection
- プロセス，スレッド探索->アラート状態->ハンドル取得->キューに追加
- e.g. Createtoolhelp32Snapshot,Thread32First,Thread32Next->WaitForMultipleObjectEx->OpenThread->VirtualAllocEx->WriteProcessMemory->QueueUserAPC
- QueueUserAPC
> - First args: a handle to the target thread
> - Second args: a pointer to the function that the malware wants to run
> - Third args: the parameter that is passed to the function pointer. 

[f74399cc0be275376dad23151e3d0c2e2a1c966e6db6a695a05ec1a30551c0ad](https://www.virustotal.com/gui/file/f74399cc0be275376dad23151e3d0c2e2a1c966e6db6a695a05ec1a30551c0ad/detection)
### ATOM BOMBING
to do...
### Shell Tray Window Injection
to do...
### Shim Injection
to do...
### IAT and Inline Hooking
to do...
### ALPC Injection
to do...
### REFLECTIVE PE Injection
to do...
### LOCKPOS
to do...
### KERNEL CALLBACK TABLE
to do...
### CLIPBRDWNDCLASS
to do...
### PROGATE
to do...
### EARLY BIRD
to do...
### CONSOLE WINDOW CLASS
to do...
### TOOLTIP Process Injection
to do...
### Persistence
- **Applnit_Dlls**<br>
to do...
- **AppCertDlls**<br>
to do...
- **IFEO**<br>
to do...

## Heaven's Gate
- 0x33セグメントセレクターを使用して32ビット（WOW64）プロセスで64ビットコードを実行するTechnique<br>
- x86用ユーザモードデバッガでの追跡が難しい<br>
- WinDBG等のカーネルモードデバッガでは追跡することができる<br>
- 名前の由来はVX Heavenに投稿されたから<br>
- 少なくともtrickbot,locky,emotet等では利用されていた<br>

**ref:**<br>
[Knockin’ on Heaven’s Gate – Dynamic Processor Mode Switching(2012-09)](http://rce.co/knockin-on-heavens-gate-dynamic-processor-mode-switching/)<br>
[The 0x33 Segment Selector (Heavens Gate)](https://www.malwaretech.com/2014/02/the-0x33-segment-selector-heavens-gate.html)<br>

## API obfuscation
[A Museum of API Obfuscation on Win32](http://eval.symantec.com/mktginfo/enterprise/media/security_response/whitepapers/a_museum_of_api_obfuscation_on_win32.pdf)<br>

## PowerShell Script obfuscation
- 難読化ツール<br>
[Invoke-Obfuscation](https://github.com/danielbohannon/Invoke-Obfuscation)
- Powershellとセキュリティについての学習コンテンツ<br>
[Adversary Tactics: PowerShell](https://github.com/specterops/at-ps)
- Powershell Script内で用いられる難読化技術について
### Case-insensitive
- コマンドレット名や変数名に大文字，小文字を混ぜる
    - PowerShellでは区別されない
```
INvOke-eXpReSsiOn
```
### Alias
- コマンドのエイリアスを用いる
- エイリアスの確認方法
```
get-alias # すべてのエイリアスの確認
get-alias iex #iexのエイリアス(Invoke-Expression)の確認
```
- よく利用されるエイリアス
```
iex -> Invoke-Expression
sal -> Set-Alias
```
- エイリアスの設定
```
set-alias <Name> <Value>
sal ping iex
```
### Dot expression and amp expression(Invoke-Expression)
- 文字列で表現されたコマンドレットを実行
```
.("get-alias")
&('gal')
iex("GeT-AliAs")
```
### Combining characters
- 文字や文字列の結合
```
'i'+'ex'
```
### Backticks
- コマンドレットや変数にバッククォートを挿入
```
`i`e`x("`gal `gal")
```
### Split method
- 文字列の分割
```
'bob@alice'-split('@') -> bob alice
'bob@alice' -split '@' -split "i" -> bob al ce
```
### Join method
- リストの結合
```
"bob","alice" -join "@" -> bob@alice
```
### Concatenation operations
- 文字列の並べ替えおよび連結
```
"{1} {0}" -f "Alice","Bob" -> Bob Alice
"{1} {0}" -f "Alice",("{1}{2}{0}" -f "b","B","o") -> Bob Alice
```
### No Space
- 空白の省略
```
"bob","alice"-join"@"
```
### Pipe operator
- パイプによる引数の引き渡し
```
'Write-host 1' | iex
```
### $ENV variable
- 環境変数の値を文字列の作成等に利用
```
.($seLLId[1]+$shEllId[13]+'x') -> .(iex)
&($EnV:cOmSpEc[4,15,25]-JOIN'') -> &(iex)
```
### Encode
- xor
    - 文字，16進数，10進数等で指定可能
```
10-bxor"10"  -> 0
"0xa"-bxor10 -> 0
```
- base64
```
[System.Convert]::FromBase64String("Ym9iYWxpY2UK") -> bobalice
```
- zlib
```
New-Object System.IO.Compression.DeflateStream([iO.mEmoRySTream] [sysTEM.ConVert]::frOMBASE64STrING("Ym9iYWxpY2UK"))
```
- unicode
```
[System.Text.Encoding]::Unicode.GetString($unicodeBytes)
```
### Ascii code
- 文字などをasciiコードの10進数，16進数表記で示す
```
[string][char[]](0x69,0x65,0x58) -> i e X
```
### Replace method
- 文字や文字列を置換する
```
'i e x'-replace ' ','' -> ieX
```
### %(foreach-object)
- foreach-objectの省略系で%を利用
```
((0x69, 0x65, 0x58) | %{([char] [int] $_)})-jOIN'' -> ieX
```
### Comment out
- コメントアウト
```
<#bobalice#>
```
**ref:**<br>
[Powershell Static Analysis & Emotet results](https://hatching.io/blog/powershell-analysis)<br>

# Anti-detection
## Living Off The Land(LOL)
- システムに備わっている信頼性の高いツールを悪用する
- LOLで利用される各種Binary(LOLBin), Script(LOLScript), Library(LOLLib)のドキュメント<br>
[LOLBAS](https://lolbas-project.github.io/)<br>[GTFOBins(UNIX ver)](https://gtfobins.github.io/)
- LOLBinsとしてのの条件
> Be a Microsoft-signed file, either native to the OS or downloaded from Microsoft.
- LOLBinsで可能なこと
    - UAC Bypass,AppLocker Bypass,Dumping process memory,Credential theft,Log evasion/modification,Persistence,File operations,etc.
- よく利用されるLOLBins
    - [Certutil.exe](https://lolbas-project.github.io/lolbas/Binaries/Certutil/)
        - エンコードされたバイナリを，Certutil.exeでダウンロード->ダウンロードしたバイナリを，Certutil.exeでデコード->デコードしたバイナリを，[Forfiles.exe](https://lolbas-project.github.io/lolbas/Binaries/Forfiles/)で実行
    - [eventvwr.exe](https://lolbas-project.github.io/lolbas/Binaries/Eventvwr/)
    - [Msbuild.exe](https://lolbas-project.github.io/lolbas/Binaries/Msbuild/)
    - [Mshta.exe](https://lolbas-project.github.io/lolbas/Binaries/Mshta/)
    - [Odbcconf.exe](https://lolbas-project.github.io/lolbas/Binaries/Odbcconf/)
    - [Regasm.exe](https://lolbas-project.github.io/lolbas/Binaries/Regasm/) / [Regsvcs.exe](https://lolbas-project.github.io/lolbas/Binaries/Regsvcs/)
    - [Regsvr32.exe](https://lolbas-project.github.io/lolbas/Binaries/Regsvr32/)
    - [Wmic.exe](https://lolbas-project.github.io/lolbas/Binaries/Wmic/)
    - Powershell.exe
    - [Bitsadmin.exe](https://lolbas-project.github.io/lolbas/Binaries/Bitsadmin/)
    - Wingding.tff
    - Disk Cleanup
    - werfault.exe
### UAC bypass
- Windows Publisherによってデジタル署名されている且つ，セキュリティ保護されたフォルダに存在するプログラム(Trusted binary)はUACプロンプトを表示せずに，そのプログラムまたは，そのプログラムを経由して実行されるプログラムを管理者権限で実行させることができる
- マルウェアはUACなしで自身を管理者権限で実行させたり，セキュリティソフトのホワイトリストに自身を追加することができるようになる
- プログラムのデジタル署名の確認はWindows Sysinternalsのsigcheckと呼ばれるプログラムで確認することができる<br>

**ref:**
- UAC Bypassについて<br>
[Bypass User Account Control, MITRE ATT&CK](https://attack.mitre.org/techniques/T1088/)<br>
- UAC Bypassのメソッドの紹介及びそれらを利用するためのツール<br>
[UACMe](https://github.com/hfiref0x/UACME)
- fodhelper.exeによるUAC Bypass，[Trickbotによって利用されるとの情報あり](https://www.bleepingcomputer.com/news/security/trickbot-now-uses-a-windows-10-uac-bypass-to-evade-detection/)(2020-01-16)<br>
[First entry: Welcome and fileless UAC bypass](https://winscripting.blog/2017/05/12/first-entry-welcome-and-uac-bypass/)

## DGA
- ドメイン生成アルゴリズム<br>
- 数学的なアルゴリズムを利用して一定間隔ごとに異なる通信先ドメインを生成することにより，ドメイン名での検知を困難にする<br>
- 43ファミリのDGAに対してseedタイプ，DGAタイプ，エントロピー，TLD等様々な観点から比較<br>
[A Comprehensive Measurement Study of Domain Generating Malware,USENIX2016](https://www.usenix.org/conference/usenixsecurity16/technical-sessions/presentation/plohmann)

## Fast Flux
- ドメインに対応するIPアドレスを短い期間で切り替えることにより，悪意のあるサイト(マルウェア配布，c2，フィッシング)を維持させる手法
- IPアドレスにはボットネットが用いられることがある
- 切り替えは平均5分

**ref:**<br>
[Fast Flux networks: What are they and how do they work?](https://www.welivesecurity.com/2017/01/12/fast-flux-networks-work/)

# Shell Backdoor
- Web Shell等 
- 様々なShell Backdoor(PHP/ASP)<br>
[Shell Backdoor List - PHP / ASP Shell Backdoor List](https://www.kitploit.com/2020/01/shell-backdoor-list-php-asp-shell.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+PentestTools+%28PenTest+Tools%29)
-												Untitled-1

PS obfuscate2
											
										
										
											2020-01-09 22:53:56 +07:00
+								# Anti-analysis
 								- Anti-analysisに利用されるAPI,ファイル名，プロセス名，dll，レジストリ等の一覧まとめ<br>
 								[Collection of Anti-Malware Analysis Tricks.(2016-10)](https://forum.tuts4you.com/topic/38931-collection-of-anti-malware-analysis-tricks/)
 								## Injection/Hollowing
 								- 正規プロセス等のアドレス空間にコードを注入することで検知や分析を妨害するTechnique
 								- 利用される正規プロセス：svchost.exe,explorer.exe,regsvr32.exe等
 								- Heaven's Gateと組み合わせて利用される場合あり
-												add LOL


											
										
										
											2020-01-17 22:52:36 +07:00
+								-
 								**ref:**<br>
 								- 各種Injection/Hollowingで利用されるAPIの一覧<br>
-												Untitled-1

PS obfuscate2
											
										
										
											2020-01-09 22:53:56 +07:00
+								[HUNTING PROCESS INJECTION BY WINDOWSAPI CALLS (2019-11)](https://malwareanalysis.co/wp-content/uploads/2019/11/Hunting-Process-Injection-by-Windows-API-Calls.pdf)<br>
-												add LOL


											
										
										
											2020-01-17 22:52:36 +07:00
+								- 図で分かりやすく説明<br>
-												Untitled-1

PS obfuscate2
											
										
										
											2020-01-09 22:53:56 +07:00
+								[Ten Process Injection Techniques: A Technical Survey Of Common And Trending Process Injection Techniques](https://www.endgame.com/blog/technical-blog/ten-process-injection-techniques-technical-survey-common-and-trending-process)
-												add LOL


											
										
										
											2020-01-17 22:52:36 +07:00
+								- プログラムベースの説明<br>
-												Untitled-1

PS obfuscate2
											
										
										
											2020-01-09 22:53:56 +07:00
+								[Code & Process Injection,Red Teaming Experiments](https://ired.team/offensive-security/code-injection-process-injection)
 								### Dll Injection
 								- 正規プロセス探索->プロセスのハンドル取得->メモリ領域確保->悪性DLL注入->実行
 								- e.g. CreateToolhelp32Snapshot,Process32First,Process32Next->OpenProcess->VirtualAllocEx->WriteProcessMemory->CreateRemoteThread<br>
 								[07b8f25e7b536f5b6f686c12d04edc37e11347c8acd5c53f98a174723078c365](https://www.virustotal.com/gui/file/07b8f25e7b536f5b6f686c12d04edc37e11347c8acd5c53f98a174723078c365/detection)
 								### Thread Execution Hijacking
 								- 正規プロセス，スレッド探索->スレッドのハンドル取得->スレッド停止->メモリ領域確保->悪性コード注入->EIP書き換え->実行
 								- e.g. CreateToolhelp32Snapshot,Thread32First,Thread32Next->OpenThread->SuspendThread->VirtualAllocEx->WriteProcessMemory->SetThreadContext->ResumeThread
 								[787cbc8a6d1bc58ea169e51e1ad029a637f22560660cc129ab8a099a745bd50e](https://www.virustotal.com/gui/file/787cbc8a6d1bc58ea169e51e1ad029a637f22560660cc129ab8a099a745bd50e/detection)
 								### Dll Injection Using SetWindowsHookEx(Hook Injection)
 								- Hooking:
 								> Hooking is a technique used to intercept function calls.
 								- SetWindowsHookEx
 								> - The first argument is the type of event. The events reflect the range of hook types, and vary from pressing keys on the keyboard (WH_KEYBOARD) to inputs to the mouse (WH_MOUSE), CBT, etc.
 								> - The second argument is a pointer to the function the malware wants to invoke upon the event execution.
 								> - The third argument is a module that contains the function.
 								> - The last argument to this function is the thread with which the hook procedure is to be associated.
 								- dll読み込み->アドレス解決->正規プロセス，スレッドの探索->フック
 								- e.g. LoadLibrary->GetProcAddress->CreateToolhelp32Snapshot,Thred32First,Thread32Next->SetWindowsHookEx
 								[5d6ddb8458ee5ab99f3e7d9a21490ff4e5bc9808e18b9e20b6dc2c5b27927ba1](https://www.virustotal.com/gui/file/5d6ddb8458ee5ab99f3e7d9a21490ff4e5bc9808e18b9e20b6dc2c5b27927ba1/detection)
 								### Process Hollowing
 								- 正規プロセス作成(サスペンド状態)->空洞化->メモリ領域確保->悪性コード注入->エントリポイント設定->実行<br>
 								- e.g. CreateProcess->ZwUnmapViewOfSection(NtUnmapViewOfSection)->VirtualAllocEx->WriteProcessMemory->SetThreadContext->ResumeThread<br>
 								[eae72d803bf67df22526f50fc7ab84d838efb2865c27aef1a61592b1c520d144](https://www.virustotal.com/gui/file/eae72d803bf67df22526f50fc7ab84d838efb2865c27aef1a61592b1c520d144/detection)
 								### APC Injection
 								- プロセス，スレッド探索->アラート状態->ハンドル取得->キューに追加
 								- e.g. Createtoolhelp32Snapshot,Thread32First,Thread32Next->WaitForMultipleObjectEx->OpenThread->VirtualAllocEx->WriteProcessMemory->QueueUserAPC
 								- QueueUserAPC
 								> - First args: a handle to the target thread
 								> - Second args: a pointer to the function that the malware wants to run
 								> - Third args: the parameter that is passed to the function pointer.
 								[f74399cc0be275376dad23151e3d0c2e2a1c966e6db6a695a05ec1a30551c0ad](https://www.virustotal.com/gui/file/f74399cc0be275376dad23151e3d0c2e2a1c966e6db6a695a05ec1a30551c0ad/detection)
 								### ATOM BOMBING
 								to do...
 								### Shell Tray Window Injection
 								to do...
 								### Shim Injection
 								to do...
 								### IAT and Inline Hooking
 								to do...
 								### ALPC Injection
 								to do...
 								### REFLECTIVE PE Injection
 								to do...
 								### LOCKPOS
 								to do...
 								### KERNEL CALLBACK TABLE
 								to do...
 								### CLIPBRDWNDCLASS
 								to do...
 								### PROGATE
 								to do...
 								### EARLY BIRD
 								to do...
 								### CONSOLE WINDOW CLASS
 								to do...
 								### TOOLTIP Process Injection
 								to do...
-												add LOL


											
										
										
											2020-01-17 22:52:36 +07:00
+								### Persistence
-												Untitled-1

PS obfuscate2
											
										
										
											2020-01-09 22:53:56 +07:00
+								- **Applnit_Dlls**<br>
 								to do...
 								- **AppCertDlls**<br>
 								to do...
 								- **IFEO**<br>
 								to do...
 								## Heaven's Gate
 								- 0x33セグメントセレクターを使用して32ビット（WOW64）プロセスで64ビットコードを実行するTechnique<br>
 								- x86用ユーザモードデバッガでの追跡が難しい<br>
 								- WinDBG等のカーネルモードデバッガでは追跡することができる<br>
 								- 名前の由来はVX Heavenに投稿されたから<br>
 								- 少なくともtrickbot,locky,emotet等では利用されていた<br>
-												add LOL


											
										
										
											2020-01-17 22:52:36 +07:00
 								**ref:**<br>
-												Untitled-1

PS obfuscate2
											
										
										
											2020-01-09 22:53:56 +07:00
+								[Knockin’ on Heaven’s Gate – Dynamic Processor Mode Switching(2012-09)](http://rce.co/knockin-on-heavens-gate-dynamic-processor-mode-switching/)<br>
 								[The 0x33 Segment Selector (Heavens Gate)](https://www.malwaretech.com/2014/02/the-0x33-segment-selector-heavens-gate.html)<br>
 								## API obfuscation
 								[A Museum of API Obfuscation on Win32](http://eval.symantec.com/mktginfo/enterprise/media/security_response/whitepapers/a_museum_of_api_obfuscation_on_win32.pdf)<br>
 								## PowerShell Script obfuscation
 								- 難読化ツール<br>
 								[Invoke-Obfuscation](https://github.com/danielbohannon/Invoke-Obfuscation)
-												Update malware-tech_ref_and_memo.md
											
										
										
											2020-01-23 22:02:45 +07:00
+								- Powershellとセキュリティについての学習コンテンツ<br>
-												Update malware-tech_ref_and_memo.md
											
										
										
											2020-01-23 22:03:28 +07:00
+								[Adversary Tactics: PowerShell](https://github.com/specterops/at-ps)
-												Untitled-1

PS obfuscate2
											
										
										
											2020-01-09 22:53:56 +07:00
+								- Powershell Script内で用いられる難読化技術について
-												Update malware-tech_ref_and_memo.md
											
										
										
											2020-01-11 14:43:32 +07:00
+								### Case-insensitive
-												Update malware-tech_ref_and_memo.md
											
										
										
											2020-01-13 19:39:06 +07:00
+								- コマンドレット名や変数名に大文字，小文字を混ぜる
-												Untitled-1

PS obfuscate2
											
										
										
											2020-01-09 22:53:56 +07:00
+								    - PowerShellでは区別されない
-												a
											
										
										
											2020-01-10 07:44:05 +07:00
+								```
 								INvOke-eXpReSsiOn
 								```
-												Update malware-tech_ref_and_memo.md
											
										
										
											2020-01-11 14:43:32 +07:00
+								### Alias
-												Untitled-1

PS obfuscate2
											
										
										
											2020-01-09 22:53:56 +07:00
+								- コマンドのエイリアスを用いる
 								- エイリアスの確認方法
-												Update malware-tech_ref_and_memo.md
											
										
										
											2020-01-09 22:59:25 +07:00
+								```
-												Update malware-tech_ref_and_memo.md
											
										
										
											2020-01-13 19:39:47 +07:00
+								get-alias # すべてのエイリアスの確認
-												Update malware-tech_ref_and_memo.md
											
										
										
											2020-01-09 22:59:25 +07:00
+								get-alias iex #iexのエイリアス(Invoke-Expression)の確認
 								```
-												Untitled-1

PS obfuscate2
											
										
										
											2020-01-09 22:53:56 +07:00
+								- よく利用されるエイリアス
-												Update malware-tech_ref_and_memo.md
											
										
										
											2020-01-09 22:59:25 +07:00
+								```
-												a
											
										
										
											2020-01-10 07:44:05 +07:00
+								iex -> Invoke-Expression
-												Update malware-tech_ref_and_memo.md
											
										
										
											2020-01-09 22:59:25 +07:00
+								sal -> Set-Alias
 								```
-												Untitled-1

PS obfuscate2
											
										
										
											2020-01-09 22:53:56 +07:00
+								- エイリアスの設定
-												Update malware-tech_ref_and_memo.md
											
										
										
											2020-01-09 22:59:25 +07:00
+								```
-												a
											
										
										
											2020-01-10 07:44:05 +07:00
+								set-alias <Name> <Value>
-												Update malware-tech_ref_and_memo.md
											
										
										
											2020-01-09 22:59:25 +07:00
+								sal ping iex
 								```
-												Update malware-tech_ref_and_memo.md
											
										
										
											2020-01-11 14:43:32 +07:00
+								### Dot expression and amp expression(Invoke-Expression)
-												Untitled-1

PS obfuscate2
											
										
										
											2020-01-09 22:53:56 +07:00
+								- 文字列で表現されたコマンドレットを実行
-												Update malware-tech_ref_and_memo.md
											
										
										
											2020-01-09 22:59:25 +07:00
+								```
-												a
											
										
										
											2020-01-10 07:44:05 +07:00
+								.("get-alias")
 								&('gal')
-												Update malware-tech_ref_and_memo.md
											
										
										
											2020-01-09 22:59:25 +07:00
+								iex("GeT-AliAs")
 								```
-												Untitled-1

PS obfuscate2
											
										
										
											2020-01-09 22:53:56 +07:00
+								### Combining characters
 								- 文字や文字列の結合
-												Update malware-tech_ref_and_memo.md
											
										
										
											2020-01-09 22:59:25 +07:00
+								```
 								'i'+'ex'
 								```
-												Untitled-1

PS obfuscate2
											
										
										
											2020-01-09 22:53:56 +07:00
+								### Backticks
 								- コマンドレットや変数にバッククォートを挿入
-												Update malware-tech_ref_and_memo.md
											
										
										
											2020-01-09 22:59:25 +07:00
+								```
-												a
											
										
										
											2020-01-10 07:44:05 +07:00
+								`i`e`x("`gal `gal")
-												Update malware-tech_ref_and_memo.md
											
										
										
											2020-01-09 22:59:25 +07:00
+								```
-												Untitled-1

PS obfuscate2
											
										
										
											2020-01-09 22:53:56 +07:00
+								### Split method
 								- 文字列の分割
-												Update malware-tech_ref_and_memo.md
											
										
										
											2020-01-09 22:59:25 +07:00
+								```
-												a
											
										
										
											2020-01-10 07:44:05 +07:00
+								'bob@alice'-split('@') -> bob alice
-												Update malware-tech_ref_and_memo.md
											
										
										
											2020-01-09 22:59:25 +07:00
+								'bob@alice' -split '@' -split "i" -> bob al ce
 								```
-												Untitled-1

PS obfuscate2
											
										
										
											2020-01-09 22:53:56 +07:00
+								### Join method
 								- リストの結合
-												Update malware-tech_ref_and_memo.md
											
										
										
											2020-01-09 22:59:25 +07:00
+								```
 								"bob","alice" -join "@" -> bob@alice
 								```
-												Untitled-1

PS obfuscate2
											
										
										
											2020-01-09 22:53:56 +07:00
+								### Concatenation operations
 								- 文字列の並べ替えおよび連結
-												Update malware-tech_ref_and_memo.md
											
										
										
											2020-01-09 22:59:25 +07:00
+								```
-												a
											
										
										
											2020-01-10 07:44:05 +07:00
+								"{1} {0}" -f "Alice","Bob" -> Bob Alice
-												Update malware-tech_ref_and_memo.md
											
										
										
											2020-01-09 22:59:25 +07:00
+								"{1} {0}" -f "Alice",("{1}{2}{0}" -f "b","B","o") -> Bob Alice
 								```
-												Untitled-1

PS obfuscate2
											
										
										
											2020-01-09 22:53:56 +07:00
+								### No Space
 								- 空白の省略
-												Update malware-tech_ref_and_memo.md
											
										
										
											2020-01-09 22:59:25 +07:00
+								```
 								"bob","alice"-join"@"
 								```
-												Untitled-1

PS obfuscate2
											
										
										
											2020-01-09 22:53:56 +07:00
+								### Pipe operator
 								- パイプによる引数の引き渡し
-												Update malware-tech_ref_and_memo.md
											
										
										
											2020-01-09 22:59:25 +07:00
+								```
 								'Write-host 1' | iex
 								```
-												Untitled-1

PS obfuscate2
											
										
										
											2020-01-09 22:53:56 +07:00
+								### $ENV variable
 								- 環境変数の値を文字列の作成等に利用
-												Update malware-tech_ref_and_memo.md
											
										
										
											2020-01-09 22:59:25 +07:00
+								```
-												a
											
										
										
											2020-01-10 07:44:05 +07:00
+								.($seLLId[1]+$shEllId[13]+'x') -> .(iex)
-												Update malware-tech_ref_and_memo.md
											
										
										
											2020-01-09 22:59:25 +07:00
+								&($EnV:cOmSpEc[4,15,25]-JOIN'') -> &(iex)
 								```
-												Untitled-1

PS obfuscate2
											
										
										
											2020-01-09 22:53:56 +07:00
+								### Encode
 								- xor
 								    - 文字，16進数，10進数等で指定可能
-												Update malware-tech_ref_and_memo.md
											
										
										
											2020-01-09 22:59:25 +07:00
+								```
-												a
											
										
										
											2020-01-10 07:44:05 +07:00
+-bxor"10"  -> 0
-												Update malware-tech_ref_and_memo.md
											
										
										
											2020-01-09 22:59:25 +07:00
+								"0xa"-bxor10 -> 0
 								```
-												Untitled-1

PS obfuscate2
											
										
										
											2020-01-09 22:53:56 +07:00
+								- base64
-												Update malware-tech_ref_and_memo.md
											
										
										
											2020-01-09 22:59:25 +07:00
+								```
 								[System.Convert]::FromBase64String("Ym9iYWxpY2UK") -> bobalice
 								```
-												Untitled-1

PS obfuscate2
											
										
										
											2020-01-09 22:53:56 +07:00
+								- zlib
-												Update malware-tech_ref_and_memo.md
											
										
										
											2020-01-09 22:59:25 +07:00
+								```
 								New-Object System.IO.Compression.DeflateStream([iO.mEmoRySTream] [sysTEM.ConVert]::frOMBASE64STrING("Ym9iYWxpY2UK"))
 								```
-												Untitled-1

PS obfuscate2
											
										
										
											2020-01-09 22:53:56 +07:00
+								- unicode
-												Update malware-tech_ref_and_memo.md
											
										
										
											2020-01-09 22:59:25 +07:00
+								```
-												a
											
										
										
											2020-01-10 07:44:05 +07:00
+								[System.Text.Encoding]::Unicode.GetString($unicodeBytes)
-												Update malware-tech_ref_and_memo.md
											
										
										
											2020-01-09 22:59:25 +07:00
+								```
-												Untitled-1

PS obfuscate2
											
										
										
											2020-01-09 22:53:56 +07:00
+								### Ascii code
 								- 文字などをasciiコードの10進数，16進数表記で示す
-												Update malware-tech_ref_and_memo.md
											
										
										
											2020-01-09 22:59:25 +07:00
+								```
-												a
											
										
										
											2020-01-10 07:44:05 +07:00
+								[string][char[]](0x69,0x65,0x58) -> i e X
-												Update malware-tech_ref_and_memo.md
											
										
										
											2020-01-09 22:59:25 +07:00
+								```
-												Untitled-1

PS obfuscate2
											
										
										
											2020-01-09 22:53:56 +07:00
+								### Replace method
 								- 文字や文字列を置換する
-												Update malware-tech_ref_and_memo.md
											
										
										
											2020-01-09 22:59:25 +07:00
+								```
 								'i e x'-replace ' ','' -> ieX
 								```
-												Untitled-1

PS obfuscate2
											
										
										
											2020-01-09 22:53:56 +07:00
+								### %(foreach-object)
 								- foreach-objectの省略系で%を利用
-												Update malware-tech_ref_and_memo.md
											
										
										
											2020-01-09 22:59:25 +07:00
+								```
 								((0x69, 0x65, 0x58) | %{([char] [int] $_)})-jOIN'' -> ieX
 								```
-												Untitled-1

PS obfuscate2
											
										
										
											2020-01-09 22:53:56 +07:00
+								### Comment out
 								- コメントアウト
-												Update malware-tech_ref_and_memo.md
											
										
										
											2020-01-09 22:59:25 +07:00
+								```
 								<#bobalice#>
 								```
-												add LOL


											
										
										
											2020-01-17 22:52:36 +07:00
+								**ref:**<br>
-												Update malware-tech_ref_and_memo.md
											
										
										
											2020-01-23 22:01:35 +07:00
+								[Powershell Static Analysis & Emotet results](https://hatching.io/blog/powershell-analysis)<br>
-												Untitled-1

PS obfuscate2
											
										
										
											2020-01-09 22:53:56 +07:00
 								# Anti-detection
-												add LOL


											
										
										
											2020-01-17 22:52:36 +07:00
+								## Living Off The Land(LOL)
 								- システムに備わっている信頼性の高いツールを悪用する
 								- LOLで利用される各種Binary(LOLBin), Script(LOLScript), Library(LOLLib)のドキュメント<br>
 								[LOLBAS](https://lolbas-project.github.io/)<br>[GTFOBins(UNIX ver)](https://gtfobins.github.io/)
 								- LOLBinsとしてのの条件
 								> Be a Microsoft-signed file, either native to the OS or downloaded from Microsoft.
 								- LOLBinsで可能なこと
-												add LOLbins


											
										
										
											2020-01-18 14:59:47 +07:00
+								    - UAC Bypass,AppLocker Bypass,Dumping process memory,Credential theft,Log evasion/modification,Persistence,File operations,etc.
-												add LOL


											
										
										
											2020-01-17 22:52:36 +07:00
+								- よく利用されるLOLBins
-												add LOLbins


											
										
										
											2020-01-18 14:59:47 +07:00
+								    - [Certutil.exe](https://lolbas-project.github.io/lolbas/Binaries/Certutil/)
-												Update malware-tech_ref_and_memo.md
											
										
										
											2020-01-18 15:01:26 +07:00
+								        - エンコードされたバイナリを，Certutil.exeでダウンロード->ダウンロードしたバイナリを，Certutil.exeでデコード->デコードしたバイナリを，[Forfiles.exe](https://lolbas-project.github.io/lolbas/Binaries/Forfiles/)で実行
-												add LOLbins


											
										
										
											2020-01-18 14:59:47 +07:00
+								    - [eventvwr.exe](https://lolbas-project.github.io/lolbas/Binaries/Eventvwr/)
 								    - [Msbuild.exe](https://lolbas-project.github.io/lolbas/Binaries/Msbuild/)
 								    - [Mshta.exe](https://lolbas-project.github.io/lolbas/Binaries/Mshta/)
 								    - [Odbcconf.exe](https://lolbas-project.github.io/lolbas/Binaries/Odbcconf/)
 								    - [Regasm.exe](https://lolbas-project.github.io/lolbas/Binaries/Regasm/) / [Regsvcs.exe](https://lolbas-project.github.io/lolbas/Binaries/Regsvcs/)
 								    - [Regsvr32.exe](https://lolbas-project.github.io/lolbas/Binaries/Regsvr32/)
 								    - [Wmic.exe](https://lolbas-project.github.io/lolbas/Binaries/Wmic/)
 								    - Powershell.exe
 								    - [Bitsadmin.exe](https://lolbas-project.github.io/lolbas/Binaries/Bitsadmin/)
 								    - Wingding.tff
 								    - Disk Cleanup
 								    - werfault.exe
-												add LOL


											
										
										
											2020-01-17 22:52:36 +07:00
+								### UAC bypass
 								- Windows Publisherによってデジタル署名されている且つ，セキュリティ保護されたフォルダに存在するプログラム(Trusted binary)はUACプロンプトを表示せずに，そのプログラムまたは，そのプログラムを経由して実行されるプログラムを管理者権限で実行させることができる
 								- マルウェアはUACなしで自身を管理者権限で実行させたり，セキュリティソフトのホワイトリストに自身を追加することができるようになる
 								- プログラムのデジタル署名の確認はWindows Sysinternalsのsigcheckと呼ばれるプログラムで確認することができる<br>
 								**ref:**
 								- UAC Bypassについて<br>
 								[Bypass User Account Control, MITRE ATT&CK](https://attack.mitre.org/techniques/T1088/)<br>
 								- UAC Bypassのメソッドの紹介及びそれらを利用するためのツール<br>
 								[UACMe](https://github.com/hfiref0x/UACME)
 								- fodhelper.exeによるUAC Bypass，[Trickbotによって利用されるとの情報あり](https://www.bleepingcomputer.com/news/security/trickbot-now-uses-a-windows-10-uac-bypass-to-evade-detection/)(2020-01-16)<br>
 								[First entry: Welcome and fileless UAC bypass](https://winscripting.blog/2017/05/12/first-entry-welcome-and-uac-bypass/)
-												Untitled-1

PS obfuscate2
											
										
										
											2020-01-09 22:53:56 +07:00
+								## DGA
 								- ドメイン生成アルゴリズム<br>
 								- 数学的なアルゴリズムを利用して一定間隔ごとに異なる通信先ドメインを生成することにより，ドメイン名での検知を困難にする<br>
 								- 43ファミリのDGAに対してseedタイプ，DGAタイプ，エントロピー，TLD等様々な観点から比較<br>
 								[A Comprehensive Measurement Study of Domain Generating Malware,USENIX2016](https://www.usenix.org/conference/usenixsecurity16/technical-sessions/presentation/plohmann)
-												add fast flux


											
										
										
											2020-01-19 10:55:39 +07:00
 								## Fast Flux
 								- ドメインに対応するIPアドレスを短い期間で切り替えることにより，悪意のあるサイト(マルウェア配布，c2，フィッシング)を維持させる手法
 								- IPアドレスにはボットネットが用いられることがある
 								- 切り替えは平均5分
 								**ref:**<br>
 								[Fast Flux networks: What are they and how do they work?](https://www.welivesecurity.com/2017/01/12/fast-flux-networks-work/)
-												Update malware-tech_ref_and_memo.md
											
										
										
											2020-01-20 18:07:22 +07:00
 								# Shell Backdoor
 								- Web Shell等
 								- 様々なShell Backdoor(PHP/ASP)<br>
 								[Shell Backdoor List - PHP / ASP Shell Backdoor List](https://www.kitploit.com/2020/01/shell-backdoor-list-php-asp-shell.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+PentestTools+%28PenTest+Tools%29)