1
0
mirror of https://github.com/nganhkhoa/malware.git synced 2024-06-10 21:32:07 +07:00

Update malware-tech_ref_and_memo.md

This commit is contained in:
mether049 2020-02-23 01:29:55 +09:00 committed by GitHub
parent 4efb6cae03
commit ce43700162
No known key found for this signature in database
GPG Key ID: 4AEE18F83AFDEB23

View File

@ -327,14 +327,20 @@ New-Object System.IO.Compression.DeflateStream([iO.mEmoRySTream] [sysTEM.ConVert
- レジスタにAPIのアドレスをsetしてjmpしてAPIを呼び出し
- スタックにAPIのアドレスをsetしてretでAPIを呼び出し
## Poisoning CRT
- C/C++ランタイムライブラリに悪性コードを注入,特定のランタイム関数の改ざん
## Poisoning CRT Library
- C/C++ランタイム(CRT)ライブラリに悪性コードを注入,特定のランタイムライブラリ関数の改ざん
- libcmt.libやmsvcrt.libの上書き不正なライブラリファイルの指定
- 改ざんされた事例があるランタイム関数
- __crtExitProcess():プロセスの終了。管理アプリケーションか否かのチェック
- __scrt_common_man_seh():cランタイムライブラリ_mainCRTStartupのEntryPoint
- __scrt_common_main_seh():cランタイムライブラリ_mainCRTStartupのEntryPoint
- _security_init_cookie():セキュリティチェックを行う関数。バッファオバーフローを防ぐ
- _initterm():関数ぽインターテーブルのエントリー呼び出し
- コンパイラレベルで改ざんされるため,サプライチェーン攻撃として利用されることがある
- _initterm():関数インポートテーブルのエントリー呼び出し
- i.e.
- DllEntryPoint() -> __DllmainCRTStartup() -> _CRT_INIT() -> _initterm() -> __imp_initterm() -> malicious_code()
- コンパイル時点のレベルで改ざんされ,サプライチェーン攻撃として利用されることがある
- i.e. ShadowPad,CCLeaner,Operation ShadowHammer,etc.
- ref:
- [Analyzing C/C++ Runtime Library Code Tampering in Software Supply Chain Attacks](https://blog.trendmicro.com/trendlabs-security-intelligence/analyzing-c-c-runtime-library-code-tampering-in-software-supply-chain-attacks/)
# Persistence
## Registry