1
0
mirror of https://github.com/nganhkhoa/malware.git synced 2024-06-10 21:32:07 +07:00

add LOLbins

This commit is contained in:
HackMD 2020-01-18 07:59:47 +00:00
parent edac3498be
commit 793fe8f96b

View File

@ -221,9 +221,24 @@ New-Object System.IO.Compression.DeflateStream([iO.mEmoRySTream] [sysTEM.ConVert
- LOLBinsとしてのの条件
> Be a Microsoft-signed file, either native to the OS or downloaded from Microsoft.
- LOLBinsで可能なこと
- UAC Bypass,Dumping process memory,Credential theft,Log evasion/modification,Persistence,File operations,etc.
- UAC Bypass,AppLocker Bypass,Dumping process memory,Credential theft,Log evasion/modification,Persistence,File operations,etc.
- よく利用されるLOLBins
- todo..
- [Certutil.exe](https://lolbas-project.github.io/lolbas/Binaries/Certutil/)
- エンコードされたバイナリをCertutil.exeでダウンロード
- ダウンロードしたバイナリをCertutil.exeでデコード
- デコードしたバイナリをForfiles.exeで実行
- [eventvwr.exe](https://lolbas-project.github.io/lolbas/Binaries/Eventvwr/)
- [Msbuild.exe](https://lolbas-project.github.io/lolbas/Binaries/Msbuild/)
- [Mshta.exe](https://lolbas-project.github.io/lolbas/Binaries/Mshta/)
- [Odbcconf.exe](https://lolbas-project.github.io/lolbas/Binaries/Odbcconf/)
- [Regasm.exe](https://lolbas-project.github.io/lolbas/Binaries/Regasm/) / [Regsvcs.exe](https://lolbas-project.github.io/lolbas/Binaries/Regsvcs/)
- [Regsvr32.exe](https://lolbas-project.github.io/lolbas/Binaries/Regsvr32/)
- [Wmic.exe](https://lolbas-project.github.io/lolbas/Binaries/Wmic/)
- Powershell.exe
- [Bitsadmin.exe](https://lolbas-project.github.io/lolbas/Binaries/Bitsadmin/)
- Wingding.tff
- Disk Cleanup
- werfault.exe
### UAC bypass
- Windows Publisherによってデジタル署名されている且つセキュリティ保護されたフォルダに存在するプログラム(Trusted binary)はUACプロンプトを表示せずにそのプログラムまたはそのプログラムを経由して実行されるプログラムを管理者権限で実行させることができる
- マルウェアはUACなしで自身を管理者権限で実行させたりセキュリティソフトのホワイトリストに自身を追加することができるようになる