Update malware-tech_ref_and_memo.md

2024-06-10 21:32:07 +07:00 · 2020-02-23 01:29:55 +09:00 · 2020-02-23 01:29:55 +09:00 · ce43700162
commit ce43700162
parent 4efb6cae03
1 changed files with 11 additions and 5 deletions
--- a/malware-tech_ref_and_memo.md
+++ b/malware-tech_ref_and_memo.md
@ -327,14 +327,20 @@ New-Object System.IO.Compression.DeflateStream([iO.mEmoRySTream] [sysTEM.ConVert
        - レジスタにAPIのアドレスをsetして，jmpしてAPIを呼び出し
        - スタックにAPIのアドレスをsetして，retでAPIを呼び出し
-## Poisoning CRT
+## Poisoning CRT Library
- C/C++ランタイムライブラリに悪性コードを注入，特定のランタイム関数の改ざん
+- C/C++ランタイム(CRT)ライブラリに悪性コードを注入，特定のランタイムライブラリ関数の改ざん
 - libcmt.libやmsvcrt.libの上書き，不正なライブラリファイルの指定
  - 改ざんされた事例があるランタイム関数
    - __crtExitProcess():プロセスの終了。管理アプリケーションか否かのチェック
-    - __scrt_common_man_seh():cランタイムライブラリ_mainCRTStartupのEntryPoint
+    - __scrt_common_main_seh():cランタイムライブラリ_mainCRTStartupのEntryPoint
    - _security_init_cookie():セキュリティチェックを行う関数。バッファオバーフローを防ぐ
-    - _initterm():関数ぽインターテーブルのエントリー呼び出し
+    - _initterm():関数インポートテーブルのエントリー呼び出し
- コンパイラレベルで改ざんされるため，サプライチェーン攻撃として利用されることがある
+  - i.e.
    - DllEntryPoint() -> __DllmainCRTStartup() -> _CRT_INIT() -> _initterm() -> __imp_initterm() -> malicious_code() 
 - コンパイル時点のレベルで改ざんされ，サプライチェーン攻撃として利用されることがある
    - i.e. ShadowPad,CCLeaner,Operation ShadowHammer,etc.
 - ref:
   - [Analyzing C/C++ Runtime Library Code Tampering in Software Supply Chain Attacks](https://blog.trendmicro.com/trendlabs-security-intelligence/analyzing-c-c-runtime-library-code-tampering-in-software-supply-chain-attacks/)
 # Persistence
 ## Registry