1
0
mirror of https://github.com/nganhkhoa/malware.git synced 2024-06-10 21:32:07 +07:00

Update malware-tech_ref_and_memo.md

This commit is contained in:
mether049 2020-03-20 05:15:46 +09:00 committed by GitHub
parent 125fbc9247
commit 58cae4be69
No known key found for this signature in database
GPG Key ID: 4AEE18F83AFDEB23

View File

@ -433,6 +433,47 @@ New-Object System.IO.Compression.DeflateStream([iO.mEmoRySTream] [sysTEM.ConVert
dig -t txt o-o.myaddr.l.google.com @8.8.8.8 # TXT record
dig whoami.akamai.net @ns1-1.akamaitech.net
```
# maldoc
## Obfuscation/Encryption
- ドキュメントテキストスプレッドシートのセルファイルプロパティVBA forms,etc.の中にデータを隠す
- [Variable Object(Word)](https://msdn.microsoft.com/library/office/ff839708.aspx)の利用
- [CallByName関数](https://msdn.microsoft.com/en-us/library/office/gg278760.aspx)の利用
- ファイルの暗号化(Office 2007 or later)
- VelvetSweatshopの利用(Only Excel)
- ExcelでパスワードにVelvetSweatshopを設定して暗号化するとパスワード入力要求を表示せずにファイルを開くことができる
- VelvetSweatshopはExcelのデフォルトパスワードとして利用されておりまずこのパスワードを利用してファイルを復号しようと試みる
- LibreOfficeでも同様
- [VBad](https://github.com/Pepitoh/VBad)の利用
- VBAの難読化・暗号化ツール
- 関数名や文字列の難読化,暗号化
- Tab,Spaceの削除
- 偽の鍵の追加
- 異なるハッシュ値のファイル生成
- VBA Developper Toolからの隠蔽
- ref:
- [Re: Hidden malicious modules in MS VBA (Visual Basic for Applications](https://seclists.org/fulldisclosure/2017/Mar/90)
## VBA Stomping
- VBAソースコードを削除しVBAコードをコンパイルしたp-code(中間コード)のみファイル内に残す
- VBAソースコードによる検出を回避する
- VBAのソースコードは0クリアして削除可能
- p-codeに対してはdebuggerでの解析が困難
- [EvilClippy](https://github.com/outflanknl/EvilClippy)
- VBA Stompingを行うツール
- Locked / Unviewable属性の設定や削除も可能保護機能
- ref:
- [VBA Stomping — Advanced Maldoc Techniques](https://medium.com/walmartlabs/vba-stomping-advanced-maldoc-techniques-612c484ab278)
- [Example VBA Stomped Documents Repository](https://github.com/clr2of8/VBAstomp)
- [VBA Project Locked; Project is Unviewable](https://medium.com/walmartlabs/vba-project-locked-project-is-unviewable-4d6a0b2e7cac)
- Execution of another process
- WMI
- PowerShell
- cmd.exe
- VBS,JavaScript(cscript,wscript,mshta)
- shell code
- ref:
- [17JAN2017 - Abusing native Windows functions for shellcode execution](http://ropgadget.com/posts/abusing_win_functions.html)
- [Evasive VBA — Advanced Maldoc Techniques](https://medium.com/walmartlabs/evasive-vba-advanced-maldoc-techniques-1365e9373f80)
# Shell Backdoor
- Web Shell等