From 4efb6cae03eabad91f6bc478f07b246b754385ac Mon Sep 17 00:00:00 2001 From: mether049 Date: Sat, 22 Feb 2020 23:59:54 +0900 Subject: [PATCH] Update malware-tech_ref_and_memo.md --- malware-tech_ref_and_memo.md | 9 +++++++++ 1 file changed, 9 insertions(+) diff --git a/malware-tech_ref_and_memo.md b/malware-tech_ref_and_memo.md index 5d0bc7c..5c06f79 100644 --- a/malware-tech_ref_and_memo.md +++ b/malware-tech_ref_and_memo.md @@ -327,6 +327,15 @@ New-Object System.IO.Compression.DeflateStream([iO.mEmoRySTream] [sysTEM.ConVert - レジスタにAPIのアドレスをsetして,jmpしてAPIを呼び出し - スタックにAPIのアドレスをsetして,retでAPIを呼び出し +## Poisoning CRT +- C/C++ランタイムライブラリに悪性コードを注入,特定のランタイム関数の改ざん + - 改ざんされた事例があるランタイム関数 + - __crtExitProcess():プロセスの終了。管理アプリケーションか否かのチェック + - __scrt_common_man_seh():cランタイムライブラリ_mainCRTStartupのEntryPoint + - _security_init_cookie():セキュリティチェックを行う関数。バッファオバーフローを防ぐ + - _initterm():関数ぽインターテーブルのエントリー呼び出し +- コンパイラレベルで改ざんされるため,サプライチェーン攻撃として利用されることがある + # Persistence ## Registry - 利用されるWin32API