2020-01-09 22:53:56 +07:00
# Anti-analysis
- Anti-analysisに利用されるAPI,ファイル名, プロセス名, dll, レジストリ等の一覧まとめ< br >
[Collection of Anti-Malware Analysis Tricks.(2016-10) ](https://forum.tuts4you.com/topic/38931-collection-of-anti-malware-analysis-tricks/ )
## Injection/Hollowing
- 正規プロセス等のアドレス空間にコードを注入することで検知や分析を妨害するTechnique
- 利用される正規プロセス: svchost.exe,explorer.exe,regsvr32.exe等
- Heaven's Gateと組み合わせて利用される場合あり
2020-01-17 22:52:36 +07:00
-
**ref:**< br >
- 各種Injection/Hollowingで利用されるAPIの一覧< br >
2020-01-09 22:53:56 +07:00
[HUNTING PROCESS INJECTION BY WINDOWSAPI CALLS (2019-11) ](https://malwareanalysis.co/wp-content/uploads/2019/11/Hunting-Process-Injection-by-Windows-API-Calls.pdf )< br >
2020-01-17 22:52:36 +07:00
- 図で分かりやすく説明< br >
2020-01-09 22:53:56 +07:00
[Ten Process Injection Techniques: A Technical Survey Of Common And Trending Process Injection Techniques ](https://www.endgame.com/blog/technical-blog/ten-process-injection-techniques-technical-survey-common-and-trending-process )
2020-01-17 22:52:36 +07:00
- プログラムベースの説明< br >
2020-01-09 22:53:56 +07:00
[Code & Process Injection,Red Teaming Experiments ](https://ired.team/offensive-security/code-injection-process-injection )
### Dll Injection
- 正規プロセス探索->プロセスのハンドル取得->メモリ領域確保->悪性DLL注入->実行
- e.g. CreateToolhelp32Snapshot,Process32First,Process32Next->OpenProcess->VirtualAllocEx->WriteProcessMemory->CreateRemoteThread< br >
[07b8f25e7b536f5b6f686c12d04edc37e11347c8acd5c53f98a174723078c365 ](https://www.virustotal.com/gui/file/07b8f25e7b536f5b6f686c12d04edc37e11347c8acd5c53f98a174723078c365/detection )
### Thread Execution Hijacking
- 正規プロセス,スレッド探索->スレッドのハンドル取得->スレッド停止->メモリ領域確保->悪性コード注入->EIP書き換え->実行
- e.g. CreateToolhelp32Snapshot,Thread32First,Thread32Next->OpenThread->SuspendThread->VirtualAllocEx->WriteProcessMemory->SetThreadContext->ResumeThread
[787cbc8a6d1bc58ea169e51e1ad029a637f22560660cc129ab8a099a745bd50e ](https://www.virustotal.com/gui/file/787cbc8a6d1bc58ea169e51e1ad029a637f22560660cc129ab8a099a745bd50e/detection )
### Dll Injection Using SetWindowsHookEx(Hook Injection)
- Hooking:
> Hooking is a technique used to intercept function calls.
- SetWindowsHookEx
> - The first argument is the type of event. The events reflect the range of hook types, and vary from pressing keys on the keyboard (WH_KEYBOARD) to inputs to the mouse (WH_MOUSE), CBT, etc.
> - The second argument is a pointer to the function the malware wants to invoke upon the event execution.
> - The third argument is a module that contains the function.
> - The last argument to this function is the thread with which the hook procedure is to be associated.
- dll読み込み->アドレス解決->正規プロセス,スレッドの探索->フック
- e.g. LoadLibrary->GetProcAddress->CreateToolhelp32Snapshot,Thred32First,Thread32Next->SetWindowsHookEx
[5d6ddb8458ee5ab99f3e7d9a21490ff4e5bc9808e18b9e20b6dc2c5b27927ba1 ](https://www.virustotal.com/gui/file/5d6ddb8458ee5ab99f3e7d9a21490ff4e5bc9808e18b9e20b6dc2c5b27927ba1/detection )
### Process Hollowing
- 正規プロセス作成(サスペンド状態)->空洞化->メモリ領域確保->悪性コード注入->エントリポイント設定->実行< br >
- e.g. CreateProcess->ZwUnmapViewOfSection(NtUnmapViewOfSection)->VirtualAllocEx->WriteProcessMemory->SetThreadContext->ResumeThread< br >
[eae72d803bf67df22526f50fc7ab84d838efb2865c27aef1a61592b1c520d144 ](https://www.virustotal.com/gui/file/eae72d803bf67df22526f50fc7ab84d838efb2865c27aef1a61592b1c520d144/detection )
### APC Injection
- プロセス,スレッド探索->アラート状態->ハンドル取得->キューに追加
- e.g. Createtoolhelp32Snapshot,Thread32First,Thread32Next->WaitForMultipleObjectEx->OpenThread->VirtualAllocEx->WriteProcessMemory->QueueUserAPC
- QueueUserAPC
> - First args: a handle to the target thread
> - Second args: a pointer to the function that the malware wants to run
> - Third args: the parameter that is passed to the function pointer.
[f74399cc0be275376dad23151e3d0c2e2a1c966e6db6a695a05ec1a30551c0ad ](https://www.virustotal.com/gui/file/f74399cc0be275376dad23151e3d0c2e2a1c966e6db6a695a05ec1a30551c0ad/detection )
### ATOM BOMBING
to do...
### Shell Tray Window Injection
to do...
### Shim Injection
to do...
### IAT and Inline Hooking
to do...
### ALPC Injection
to do...
### REFLECTIVE PE Injection
to do...
### LOCKPOS
to do...
### KERNEL CALLBACK TABLE
to do...
### CLIPBRDWNDCLASS
to do...
### PROGATE
to do...
### EARLY BIRD
to do...
### CONSOLE WINDOW CLASS
to do...
### TOOLTIP Process Injection
to do...
2020-01-17 22:52:36 +07:00
### Persistence
2020-01-09 22:53:56 +07:00
- **Applnit_Dlls**< br >
to do...
- **AppCertDlls**< br >
to do...
- **IFEO**< br >
to do...
## Heaven's Gate
- 0x33セグメントセレクターを使用して32ビット( WOW64) プロセスで64ビットコードを実行するTechnique< br >
- x86用ユーザモードデバッガでの追跡が難しい< br >
- WinDBG等のカーネルモードデバッガでは追跡することができる< br >
- 名前の由来はVX Heavenに投稿されたから< br >
- 少なくともtrickbot,locky,emotet等では利用されていた< br >
2020-01-17 22:52:36 +07:00
**ref:**< br >
2020-01-09 22:53:56 +07:00
[Knockin’ on Heaven’ s Gate – Dynamic Processor Mode Switching(2012-09) ](http://rce.co/knockin-on-heavens-gate-dynamic-processor-mode-switching/ )< br >
[The 0x33 Segment Selector (Heavens Gate) ](https://www.malwaretech.com/2014/02/the-0x33-segment-selector-heavens-gate.html )< br >
## API obfuscation
[A Museum of API Obfuscation on Win32 ](http://eval.symantec.com/mktginfo/enterprise/media/security_response/whitepapers/a_museum_of_api_obfuscation_on_win32.pdf )< br >
## PowerShell Script obfuscation
- 難読化ツール< br >
[Invoke-Obfuscation ](https://github.com/danielbohannon/Invoke-Obfuscation )
2020-01-23 22:02:45 +07:00
- Powershellとセキュリティについての学習コンテンツ< br >
2020-01-23 22:03:28 +07:00
[Adversary Tactics: PowerShell ](https://github.com/specterops/at-ps )
2020-01-09 22:53:56 +07:00
- Powershell Script内で用いられる難読化技術について
2020-01-11 14:43:32 +07:00
### Case-insensitive
2020-01-13 19:39:06 +07:00
- コマンドレット名や変数名に大文字,小文字を混ぜる
2020-01-09 22:53:56 +07:00
- PowerShellでは区別されない
2020-01-10 07:44:05 +07:00
```
INvOke-eXpReSsiOn
```
2020-01-11 14:43:32 +07:00
### Alias
2020-01-09 22:53:56 +07:00
- コマンドのエイリアスを用いる
- エイリアスの確認方法
2020-01-09 22:59:25 +07:00
```
2020-01-13 19:39:47 +07:00
get-alias # すべてのエイリアスの確認
2020-01-09 22:59:25 +07:00
get-alias iex #iexのエイリアス (Invoke-Expression)の確認
```
2020-01-09 22:53:56 +07:00
- よく利用されるエイリアス
2020-01-09 22:59:25 +07:00
```
2020-01-10 07:44:05 +07:00
iex -> Invoke-Expression
2020-01-09 22:59:25 +07:00
sal -> Set-Alias
```
2020-01-09 22:53:56 +07:00
- エイリアスの設定
2020-01-09 22:59:25 +07:00
```
2020-01-10 07:44:05 +07:00
set-alias < Name > < Value >
2020-01-09 22:59:25 +07:00
sal ping iex
```
2020-01-11 14:43:32 +07:00
### Dot expression and amp expression(Invoke-Expression)
2020-01-09 22:53:56 +07:00
- 文字列で表現されたコマンドレットを実行
2020-01-09 22:59:25 +07:00
```
2020-01-10 07:44:05 +07:00
.("get-alias")
& ('gal')
2020-01-09 22:59:25 +07:00
iex("GeT-AliAs")
```
2020-01-09 22:53:56 +07:00
### Combining characters
- 文字や文字列の結合
2020-01-09 22:59:25 +07:00
```
'i'+'ex'
```
2020-01-09 22:53:56 +07:00
### Backticks
- コマンドレットや変数にバッククォートを挿入
2020-01-09 22:59:25 +07:00
```
2020-01-10 07:44:05 +07:00
`i` e`x("`gal `gal")
2020-01-09 22:59:25 +07:00
```
2020-01-09 22:53:56 +07:00
### Split method
- 文字列の分割
2020-01-09 22:59:25 +07:00
```
2020-01-10 07:44:05 +07:00
'bob@alice'-split('@') -> bob alice
2020-01-09 22:59:25 +07:00
'bob@alice' -split '@' -split "i" -> bob al ce
```
2020-01-09 22:53:56 +07:00
### Join method
- リストの結合
2020-01-09 22:59:25 +07:00
```
"bob","alice" -join "@" -> bob@alice
```
2020-01-09 22:53:56 +07:00
### Concatenation operations
- 文字列の並べ替えおよび連結
2020-01-09 22:59:25 +07:00
```
2020-01-10 07:44:05 +07:00
"{1} {0}" -f "Alice","Bob" -> Bob Alice
2020-01-09 22:59:25 +07:00
"{1} {0}" -f "Alice",("{1}{2}{0}" -f "b","B","o") -> Bob Alice
```
2020-01-09 22:53:56 +07:00
### No Space
- 空白の省略
2020-01-09 22:59:25 +07:00
```
"bob","alice"-join"@"
```
2020-01-09 22:53:56 +07:00
### Pipe operator
- パイプによる引数の引き渡し
2020-01-09 22:59:25 +07:00
```
'Write-host 1' | iex
```
2020-01-09 22:53:56 +07:00
### $ENV variable
- 環境変数の値を文字列の作成等に利用
2020-01-09 22:59:25 +07:00
```
2020-01-10 07:44:05 +07:00
.($seLLId[1]+$shEllId[13]+'x') -> .(iex)
2020-01-09 22:59:25 +07:00
& ($EnV:cOmSpEc[4,15,25]-JOIN'') -> & (iex)
```
2020-01-09 22:53:56 +07:00
### Encode
- xor
- 文字, 16進数, 10進数等で指定可能
2020-01-09 22:59:25 +07:00
```
2020-01-10 07:44:05 +07:00
10-bxor"10" -> 0
2020-01-09 22:59:25 +07:00
"0xa"-bxor10 -> 0
```
2020-01-09 22:53:56 +07:00
- base64
2020-01-09 22:59:25 +07:00
```
[System.Convert]::FromBase64String("Ym9iYWxpY2UK") -> bobalice
```
2020-01-09 22:53:56 +07:00
- zlib
2020-01-09 22:59:25 +07:00
```
New-Object System.IO.Compression.DeflateStream([iO.mEmoRySTream] [sysTEM.ConVert]::frOMBASE64STrING("Ym9iYWxpY2UK"))
```
2020-01-09 22:53:56 +07:00
- unicode
2020-01-09 22:59:25 +07:00
```
2020-01-10 07:44:05 +07:00
[System.Text.Encoding]::Unicode.GetString($unicodeBytes)
2020-01-09 22:59:25 +07:00
```
2020-01-09 22:53:56 +07:00
### Ascii code
- 文字などをasciiコードの10進数, 16進数表記で示す
2020-01-09 22:59:25 +07:00
```
2020-01-10 07:44:05 +07:00
[string][char[]](0x69,0x65,0x58) -> i e X
2020-01-09 22:59:25 +07:00
```
2020-01-09 22:53:56 +07:00
### Replace method
- 文字や文字列を置換する
2020-01-09 22:59:25 +07:00
```
'i e x'-replace ' ','' -> ieX
```
2020-01-09 22:53:56 +07:00
### %(foreach-object)
- foreach-objectの省略系で%を利用
2020-01-09 22:59:25 +07:00
```
((0x69, 0x65, 0x58) | %{([char] [int] $_)})-jOIN'' -> ieX
```
2020-01-09 22:53:56 +07:00
### Comment out
- コメントアウト
2020-01-09 22:59:25 +07:00
```
< #bobalice#>
```
2020-01-17 22:52:36 +07:00
**ref:**< br >
2020-01-23 22:01:35 +07:00
[Powershell Static Analysis & Emotet results ](https://hatching.io/blog/powershell-analysis )< br >
2020-01-09 22:53:56 +07:00
# Anti-detection
2020-01-17 22:52:36 +07:00
## Living Off The Land(LOL)
- システムに備わっている信頼性の高いツールを悪用する
- LOLで利用される各種Binary(LOLBin), Script(LOLScript), Library(LOLLib)のドキュメント< br >
[LOLBAS ](https://lolbas-project.github.io/ )< br > [GTFOBins(UNIX ver)](https://gtfobins.github.io/)
- LOLBinsとしてのの条件
> Be a Microsoft-signed file, either native to the OS or downloaded from Microsoft.
- LOLBinsで可能なこと
2020-01-18 14:59:47 +07:00
- UAC Bypass,AppLocker Bypass,Dumping process memory,Credential theft,Log evasion/modification,Persistence,File operations,etc.
2020-01-17 22:52:36 +07:00
- よく利用されるLOLBins
2020-01-18 14:59:47 +07:00
- [Certutil.exe ](https://lolbas-project.github.io/lolbas/Binaries/Certutil/ )
2020-01-18 15:01:26 +07:00
- エンコードされたバイナリを, Certutil.exeでダウンロード->ダウンロードしたバイナリを, Certutil.exeでデコード->デコードしたバイナリを,[Forfiles.exe](https://lolbas-project.github.io/lolbas/Binaries/Forfiles/)で実行
2020-01-18 14:59:47 +07:00
- [eventvwr.exe ](https://lolbas-project.github.io/lolbas/Binaries/Eventvwr/ )
- [Msbuild.exe ](https://lolbas-project.github.io/lolbas/Binaries/Msbuild/ )
- [Mshta.exe ](https://lolbas-project.github.io/lolbas/Binaries/Mshta/ )
- [Odbcconf.exe ](https://lolbas-project.github.io/lolbas/Binaries/Odbcconf/ )
- [Regasm.exe ](https://lolbas-project.github.io/lolbas/Binaries/Regasm/ ) / [Regsvcs.exe ](https://lolbas-project.github.io/lolbas/Binaries/Regsvcs/ )
- [Regsvr32.exe ](https://lolbas-project.github.io/lolbas/Binaries/Regsvr32/ )
- [Wmic.exe ](https://lolbas-project.github.io/lolbas/Binaries/Wmic/ )
- Powershell.exe
- [Bitsadmin.exe ](https://lolbas-project.github.io/lolbas/Binaries/Bitsadmin/ )
- Wingding.tff
- Disk Cleanup
- werfault.exe
2020-01-17 22:52:36 +07:00
### UAC bypass
- Windows Publisherによってデジタル署名されている且つ, セキュリティ保護されたフォルダに存在するプログラム(Trusted binary)はUACプロンプトを表示せずに, そのプログラムまたは, そのプログラムを経由して実行されるプログラムを管理者権限で実行させることができる
- マルウェアはUACなしで自身を管理者権限で実行させたり, セキュリティソフトのホワイトリストに自身を追加することができるようになる
- プログラムのデジタル署名の確認はWindows Sysinternalsのsigcheckと呼ばれるプログラムで確認することができる< br >
**ref:**
- UAC Bypassについて< br >
[Bypass User Account Control, MITRE ATT&CK ](https://attack.mitre.org/techniques/T1088/ )< br >
- UAC Bypassのメソッドの紹介及びそれらを利用するためのツール< br >
[UACMe ](https://github.com/hfiref0x/UACME )
- fodhelper.exeによるUAC Bypass, [Trickbotによって利用されるとの情報あり](https://www.bleepingcomputer.com/news/security/trickbot-now-uses-a-windows-10-uac-bypass-to-evade-detection/)(2020-01-16)< br >
[First entry: Welcome and fileless UAC bypass ](https://winscripting.blog/2017/05/12/first-entry-welcome-and-uac-bypass/ )
2020-01-09 22:53:56 +07:00
## DGA
- ドメイン生成アルゴリズム< br >
- 数学的なアルゴリズムを利用して一定間隔ごとに異なる通信先ドメインを生成することにより,ドメイン名での検知を困難にする< br >
- 43ファミリのDGAに対してseedタイプ, DGAタイプ, エントロピー, TLD等様々な観点から比較< br >
[A Comprehensive Measurement Study of Domain Generating Malware,USENIX2016 ](https://www.usenix.org/conference/usenixsecurity16/technical-sessions/presentation/plohmann )
2020-01-19 10:55:39 +07:00
## Fast Flux
- ドメインに対応するIPアドレスを短い期間で切り替えることにより, 悪意のあるサイト(マルウェア配布, c2, フィッシング)を維持させる手法
- IPアドレスにはボットネットが用いられることがある
- 切り替えは平均5分
**ref:**< br >
[Fast Flux networks: What are they and how do they work? ](https://www.welivesecurity.com/2017/01/12/fast-flux-networks-work/ )
2020-01-20 18:07:22 +07:00
# Shell Backdoor
- Web Shell等
- 様々なShell Backdoor(PHP/ASP)< br >
[Shell Backdoor List - PHP / ASP Shell Backdoor List ](https://www.kitploit.com/2020/01/shell-backdoor-list-php-asp-shell.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+PentestTools+%28PenTest+Tools%29 )
2020-01-30 21:56:59 +07:00
# rootkit
## LKM rootkit
2020-01-30 22:10:45 +07:00
- 動的にカーネルに組み込めるモジュールであるLKM(Loadable Kernel Module)を利用して, sys_call_tableの特定のカーネル関数のアドレスを任意の関数のアドレスへと書き換えることで, 本来とは異なるカーネル関数であるrootkitのカーネル関数等が呼び出せるようになる(システムコールフック)
- sys_call_tableへのアクセスは特権モードが必要であるためLKMを利用される
2020-01-30 21:56:59 +07:00
- rootkitの関数内で本来呼び出されるはずの正規のカーネル関数をあえて呼び出すことで, 正規の処理を行っているように見せかけることができる
- /proc/modulesからの隠ぺいも可能
- LKMについて
- init_module関数...カーネルにロードする際に最初に実行される関数, LKM rootkitではsys_calltableを書き換える処理を記載
- clean_module関数...カーネルからアンロードする際に実行される関数, LKM rootkitではsys_call_tableを元に戻す処理を記載
- LKMのロード
```
insmod [lkm_name].ko
```
- LKMのアンロード
```
rmmod [lkm_name].ko
```
**ref:**< br >
- LKMのrootkitへの応用について< br >
[侵入者の不利な情報を隠すLKM rootkitの仕組み,2003 ](https://www.atmarkit.co.jp/fsecurity/rensai/rootkit03/rootkit02.html )< br >
2020-01-30 22:11:33 +07:00
- LKM rootkit(work on Linux kernels 2.6.32-38 and 4.4.0-22 )< br >
2020-01-30 21:56:59 +07:00
[Linux Rootkit ](https://github.com/nurupo/rootkit )
2020-01-30 22:11:33 +07:00
- LKM rootkitその2(developed using linux kernel version 4.4.13)< br >
2020-01-30 22:10:45 +07:00
[rootkit-kernel-module ](https://github.com/croemheld/lkm-rootkit )
2020-01-30 22:11:33 +07:00
- LKM rootkitその3(runs on kernel 2.6.x/3.x/4.x)< br >
2020-01-30 22:10:45 +07:00
[Reptile ](https://github.com/f0rb1dd3n/Reptile )
2020-01-30 22:11:33 +07:00
- LKM rootkitその4(Tested on Linux kernel [4.19.62] & [4.15.0])< br >
2020-01-30 22:10:45 +07:00
[Sutekh ](https://github.com/PinkP4nther/Sutekh )