diff --git a/malware-tech_ref_and_memo.md b/malware-tech_ref_and_memo.md index f464ba7..6bf0731 100644 --- a/malware-tech_ref_and_memo.md +++ b/malware-tech_ref_and_memo.md @@ -5,12 +5,13 @@ - 正規プロセス等のアドレス空間にコードを注入することで検知や分析を妨害するTechnique - 利用される正規プロセス:svchost.exe,explorer.exe,regsvr32.exe等 - Heaven's Gateと組み合わせて利用される場合あり -- ref: - - 各種Injection/Hollowingで利用されるAPIの一覧
+- +**ref:**
+- 各種Injection/Hollowingで利用されるAPIの一覧
[HUNTING PROCESS INJECTION BY WINDOWSAPI CALLS (2019-11)](https://malwareanalysis.co/wp-content/uploads/2019/11/Hunting-Process-Injection-by-Windows-API-Calls.pdf)
- - 図で分かりやすく説明
+- 図で分かりやすく説明
[Ten Process Injection Techniques: A Technical Survey Of Common And Trending Process Injection Techniques](https://www.endgame.com/blog/technical-blog/ten-process-injection-techniques-technical-survey-common-and-trending-process) - - プログラムベースの説明
+- プログラムベースの説明
[Code & Process Injection,Red Teaming Experiments](https://ired.team/offensive-security/code-injection-process-injection) ### Dll Injection @@ -71,7 +72,7 @@ to do... to do... ### TOOLTIP Process Injection to do... -### 永続化 +### Persistence - **Applnit_Dlls**
to do... - **AppCertDlls**
@@ -85,7 +86,8 @@ to do... - WinDBG等のカーネルモードデバッガでは追跡することができる
- 名前の由来はVX Heavenに投稿されたから
- 少なくともtrickbot,locky,emotet等では利用されていた
-- ref:
+ +**ref:**
[Knockin’ on Heaven’s Gate – Dynamic Processor Mode Switching(2012-09)](http://rce.co/knockin-on-heavens-gate-dynamic-processor-mode-switching/)
[The 0x33 Segment Selector (Heavens Gate)](https://www.malwaretech.com/2014/02/the-0x33-segment-selector-heavens-gate.html)
@@ -208,10 +210,33 @@ New-Object System.IO.Compression.DeflateStream([iO.mEmoRySTream] [sysTEM.ConVert ``` <#bobalice#> ``` -### ref: +**ref:**
[Powershell Static Analysis & Emotet results](https://hatching.io/blog/powershell-analysis) # Anti-detection +## Living Off The Land(LOL) +- システムに備わっている信頼性の高いツールを悪用する +- LOLで利用される各種Binary(LOLBin), Script(LOLScript), Library(LOLLib)のドキュメント
+[LOLBAS](https://lolbas-project.github.io/)
[GTFOBins(UNIX ver)](https://gtfobins.github.io/) +- LOLBinsとしてのの条件 +> Be a Microsoft-signed file, either native to the OS or downloaded from Microsoft. +- LOLBinsで可能なこと + - UAC Bypass,Dumping process memory,Credential theft,Log evasion/modification,Persistence,File operations,etc. +- よく利用されるLOLBins + - todo.. +### UAC bypass +- Windows Publisherによってデジタル署名されている且つ,セキュリティ保護されたフォルダに存在するプログラム(Trusted binary)はUACプロンプトを表示せずに,そのプログラムまたは,そのプログラムを経由して実行されるプログラムを管理者権限で実行させることができる +- マルウェアはUACなしで自身を管理者権限で実行させたり,セキュリティソフトのホワイトリストに自身を追加することができるようになる +- プログラムのデジタル署名の確認はWindows Sysinternalsのsigcheckと呼ばれるプログラムで確認することができる
+ +**ref:** +- UAC Bypassについて
+[Bypass User Account Control, MITRE ATT&CK](https://attack.mitre.org/techniques/T1088/)
+- UAC Bypassのメソッドの紹介及びそれらを利用するためのツール
+[UACMe](https://github.com/hfiref0x/UACME) +- fodhelper.exeによるUAC Bypass,[Trickbotによって利用されるとの情報あり](https://www.bleepingcomputer.com/news/security/trickbot-now-uses-a-windows-10-uac-bypass-to-evade-detection/)(2020-01-16)
+[First entry: Welcome and fileless UAC bypass](https://winscripting.blog/2017/05/12/first-entry-welcome-and-uac-bypass/) + ## DGA - ドメイン生成アルゴリズム
- 数学的なアルゴリズムを利用して一定間隔ごとに異なる通信先ドメインを生成することにより,ドメイン名での検知を困難にする