diff --git a/malware-tech_ref_and_memo.md b/malware-tech_ref_and_memo.md index 6bf0731..278f441 100644 --- a/malware-tech_ref_and_memo.md +++ b/malware-tech_ref_and_memo.md @@ -221,9 +221,24 @@ New-Object System.IO.Compression.DeflateStream([iO.mEmoRySTream] [sysTEM.ConVert - LOLBinsとしてのの条件 > Be a Microsoft-signed file, either native to the OS or downloaded from Microsoft. - LOLBinsで可能なこと - - UAC Bypass,Dumping process memory,Credential theft,Log evasion/modification,Persistence,File operations,etc. + - UAC Bypass,AppLocker Bypass,Dumping process memory,Credential theft,Log evasion/modification,Persistence,File operations,etc. - よく利用されるLOLBins - - todo.. + - [Certutil.exe](https://lolbas-project.github.io/lolbas/Binaries/Certutil/) + - エンコードされたバイナリを,Certutil.exeでダウンロード + - ダウンロードしたバイナリを,Certutil.exeでデコード + - デコードしたバイナリを,Forfiles.exeで実行 + - [eventvwr.exe](https://lolbas-project.github.io/lolbas/Binaries/Eventvwr/) + - [Msbuild.exe](https://lolbas-project.github.io/lolbas/Binaries/Msbuild/) + - [Mshta.exe](https://lolbas-project.github.io/lolbas/Binaries/Mshta/) + - [Odbcconf.exe](https://lolbas-project.github.io/lolbas/Binaries/Odbcconf/) + - [Regasm.exe](https://lolbas-project.github.io/lolbas/Binaries/Regasm/) / [Regsvcs.exe](https://lolbas-project.github.io/lolbas/Binaries/Regsvcs/) + - [Regsvr32.exe](https://lolbas-project.github.io/lolbas/Binaries/Regsvr32/) + - [Wmic.exe](https://lolbas-project.github.io/lolbas/Binaries/Wmic/) + - Powershell.exe + - [Bitsadmin.exe](https://lolbas-project.github.io/lolbas/Binaries/Bitsadmin/) + - Wingding.tff + - Disk Cleanup + - werfault.exe ### UAC bypass - Windows Publisherによってデジタル署名されている且つ,セキュリティ保護されたフォルダに存在するプログラム(Trusted binary)はUACプロンプトを表示せずに,そのプログラムまたは,そのプログラムを経由して実行されるプログラムを管理者権限で実行させることができる - マルウェアはUACなしで自身を管理者権限で実行させたり,セキュリティソフトのホワイトリストに自身を追加することができるようになる