mirror of
https://github.com/nganhkhoa/malware.git
synced 2024-06-10 21:32:07 +07:00
Update malware-tech_ref_and_memo.md
This commit is contained in:
parent
125fbc9247
commit
58cae4be69
@ -433,6 +433,47 @@ New-Object System.IO.Compression.DeflateStream([iO.mEmoRySTream] [sysTEM.ConVert
|
||||
dig -t txt o-o.myaddr.l.google.com @8.8.8.8 # TXT record
|
||||
dig whoami.akamai.net @ns1-1.akamaitech.net
|
||||
```
|
||||
# maldoc
|
||||
## Obfuscation/Encryption
|
||||
- ドキュメントテキスト,スプレッドシートのセル,ファイルプロパティ,VBA forms,etc.の中にデータを隠す
|
||||
- [Variable Object(Word)](https://msdn.microsoft.com/library/office/ff839708.aspx)の利用
|
||||
- [CallByName関数](https://msdn.microsoft.com/en-us/library/office/gg278760.aspx)の利用
|
||||
- ファイルの暗号化(Office 2007 or later)
|
||||
- VelvetSweatshopの利用(Only Excel)
|
||||
- ExcelでパスワードにVelvetSweatshopを設定して暗号化すると,パスワード入力要求を表示せずにファイルを開くことができる
|
||||
- VelvetSweatshopはExcelのデフォルトパスワードとして利用されており,まずこのパスワードを利用してファイルを復号しようと試みる
|
||||
- LibreOfficeでも同様
|
||||
- [VBad](https://github.com/Pepitoh/VBad)の利用
|
||||
- VBAの難読化・暗号化ツール
|
||||
- 関数名や文字列の難読化,暗号化
|
||||
- Tab,Spaceの削除
|
||||
- 偽の鍵の追加
|
||||
- 異なるハッシュ値のファイル生成
|
||||
- VBA Developper Toolからの隠蔽
|
||||
- ref:
|
||||
- [Re: Hidden malicious modules in MS VBA (Visual Basic for Applications](https://seclists.org/fulldisclosure/2017/Mar/90)
|
||||
## VBA Stomping
|
||||
- VBAソースコードを削除し,VBAコードをコンパイルしたp-code(中間コード)のみファイル内に残す
|
||||
- VBAソースコードによる検出を回避する
|
||||
- VBAのソースコードは0クリアして削除可能
|
||||
- p-codeに対してはdebuggerでの解析が困難
|
||||
- [EvilClippy](https://github.com/outflanknl/EvilClippy)
|
||||
- VBA Stompingを行うツール
|
||||
- Locked / Unviewable属性の設定や削除も可能(保護機能)
|
||||
- ref:
|
||||
- [VBA Stomping — Advanced Maldoc Techniques](https://medium.com/walmartlabs/vba-stomping-advanced-maldoc-techniques-612c484ab278)
|
||||
- [Example VBA Stomped Documents Repository](https://github.com/clr2of8/VBAstomp)
|
||||
- [VBA Project Locked; Project is Unviewable](https://medium.com/walmartlabs/vba-project-locked-project-is-unviewable-4d6a0b2e7cac)
|
||||
- Execution of another process
|
||||
- WMI
|
||||
- PowerShell
|
||||
- cmd.exe
|
||||
- VBS,JavaScript(cscript,wscript,mshta)
|
||||
- shell code
|
||||
- ref:
|
||||
- [17JAN2017 - Abusing native Windows functions for shellcode execution](http://ropgadget.com/posts/abusing_win_functions.html)
|
||||
- [Evasive VBA — Advanced Maldoc Techniques](https://medium.com/walmartlabs/evasive-vba-advanced-maldoc-techniques-1365e9373f80)
|
||||
|
||||
|
||||
# Shell Backdoor
|
||||
- Web Shell等
|
||||
|
Loading…
Reference in New Issue
Block a user