mirror of
https://github.com/nganhkhoa/malware.git
synced 2024-06-10 21:32:07 +07:00
Update malware-tech_ref_and_memo.md
This commit is contained in:
parent
4efb6cae03
commit
ce43700162
@ -327,14 +327,20 @@ New-Object System.IO.Compression.DeflateStream([iO.mEmoRySTream] [sysTEM.ConVert
|
||||
- レジスタにAPIのアドレスをsetして,jmpしてAPIを呼び出し
|
||||
- スタックにAPIのアドレスをsetして,retでAPIを呼び出し
|
||||
|
||||
## Poisoning CRT
|
||||
- C/C++ランタイムライブラリに悪性コードを注入,特定のランタイム関数の改ざん
|
||||
## Poisoning CRT Library
|
||||
- C/C++ランタイム(CRT)ライブラリに悪性コードを注入,特定のランタイムライブラリ関数の改ざん
|
||||
- libcmt.libやmsvcrt.libの上書き,不正なライブラリファイルの指定
|
||||
- 改ざんされた事例があるランタイム関数
|
||||
- __crtExitProcess():プロセスの終了。管理アプリケーションか否かのチェック
|
||||
- __scrt_common_man_seh():cランタイムライブラリ_mainCRTStartupのEntryPoint
|
||||
- __scrt_common_main_seh():cランタイムライブラリ_mainCRTStartupのEntryPoint
|
||||
- _security_init_cookie():セキュリティチェックを行う関数。バッファオバーフローを防ぐ
|
||||
- _initterm():関数ぽインターテーブルのエントリー呼び出し
|
||||
- コンパイラレベルで改ざんされるため,サプライチェーン攻撃として利用されることがある
|
||||
- _initterm():関数インポートテーブルのエントリー呼び出し
|
||||
- i.e.
|
||||
- DllEntryPoint() -> __DllmainCRTStartup() -> _CRT_INIT() -> _initterm() -> __imp_initterm() -> malicious_code()
|
||||
- コンパイル時点のレベルで改ざんされ,サプライチェーン攻撃として利用されることがある
|
||||
- i.e. ShadowPad,CCLeaner,Operation ShadowHammer,etc.
|
||||
- ref:
|
||||
- [Analyzing C/C++ Runtime Library Code Tampering in Software Supply Chain Attacks](https://blog.trendmicro.com/trendlabs-security-intelligence/analyzing-c-c-runtime-library-code-tampering-in-software-supply-chain-attacks/)
|
||||
|
||||
# Persistence
|
||||
## Registry
|
||||
|
Loading…
Reference in New Issue
Block a user