mirror of
https://github.com/nganhkhoa/malware.git
synced 2024-06-10 21:32:07 +07:00
add LOL
This commit is contained in:
parent
aa332fe2d8
commit
d212948442
@ -5,7 +5,8 @@
|
|||||||
- 正規プロセス等のアドレス空間にコードを注入することで検知や分析を妨害するTechnique
|
- 正規プロセス等のアドレス空間にコードを注入することで検知や分析を妨害するTechnique
|
||||||
- 利用される正規プロセス:svchost.exe,explorer.exe,regsvr32.exe等
|
- 利用される正規プロセス:svchost.exe,explorer.exe,regsvr32.exe等
|
||||||
- Heaven's Gateと組み合わせて利用される場合あり
|
- Heaven's Gateと組み合わせて利用される場合あり
|
||||||
- ref:
|
-
|
||||||
|
**ref:**<br>
|
||||||
- 各種Injection/Hollowingで利用されるAPIの一覧<br>
|
- 各種Injection/Hollowingで利用されるAPIの一覧<br>
|
||||||
[HUNTING PROCESS INJECTION BY WINDOWSAPI CALLS (2019-11)](https://malwareanalysis.co/wp-content/uploads/2019/11/Hunting-Process-Injection-by-Windows-API-Calls.pdf)<br>
|
[HUNTING PROCESS INJECTION BY WINDOWSAPI CALLS (2019-11)](https://malwareanalysis.co/wp-content/uploads/2019/11/Hunting-Process-Injection-by-Windows-API-Calls.pdf)<br>
|
||||||
- 図で分かりやすく説明<br>
|
- 図で分かりやすく説明<br>
|
||||||
@ -71,7 +72,7 @@ to do...
|
|||||||
to do...
|
to do...
|
||||||
### TOOLTIP Process Injection
|
### TOOLTIP Process Injection
|
||||||
to do...
|
to do...
|
||||||
### 永続化
|
### Persistence
|
||||||
- **Applnit_Dlls**<br>
|
- **Applnit_Dlls**<br>
|
||||||
to do...
|
to do...
|
||||||
- **AppCertDlls**<br>
|
- **AppCertDlls**<br>
|
||||||
@ -85,7 +86,8 @@ to do...
|
|||||||
- WinDBG等のカーネルモードデバッガでは追跡することができる<br>
|
- WinDBG等のカーネルモードデバッガでは追跡することができる<br>
|
||||||
- 名前の由来はVX Heavenに投稿されたから<br>
|
- 名前の由来はVX Heavenに投稿されたから<br>
|
||||||
- 少なくともtrickbot,locky,emotet等では利用されていた<br>
|
- 少なくともtrickbot,locky,emotet等では利用されていた<br>
|
||||||
- ref:<br>
|
|
||||||
|
**ref:**<br>
|
||||||
[Knockin’ on Heaven’s Gate – Dynamic Processor Mode Switching(2012-09)](http://rce.co/knockin-on-heavens-gate-dynamic-processor-mode-switching/)<br>
|
[Knockin’ on Heaven’s Gate – Dynamic Processor Mode Switching(2012-09)](http://rce.co/knockin-on-heavens-gate-dynamic-processor-mode-switching/)<br>
|
||||||
[The 0x33 Segment Selector (Heavens Gate)](https://www.malwaretech.com/2014/02/the-0x33-segment-selector-heavens-gate.html)<br>
|
[The 0x33 Segment Selector (Heavens Gate)](https://www.malwaretech.com/2014/02/the-0x33-segment-selector-heavens-gate.html)<br>
|
||||||
|
|
||||||
@ -208,10 +210,33 @@ New-Object System.IO.Compression.DeflateStream([iO.mEmoRySTream] [sysTEM.ConVert
|
|||||||
```
|
```
|
||||||
<#bobalice#>
|
<#bobalice#>
|
||||||
```
|
```
|
||||||
### ref:
|
**ref:**<br>
|
||||||
[Powershell Static Analysis & Emotet results](https://hatching.io/blog/powershell-analysis)
|
[Powershell Static Analysis & Emotet results](https://hatching.io/blog/powershell-analysis)
|
||||||
|
|
||||||
# Anti-detection
|
# Anti-detection
|
||||||
|
## Living Off The Land(LOL)
|
||||||
|
- システムに備わっている信頼性の高いツールを悪用する
|
||||||
|
- LOLで利用される各種Binary(LOLBin), Script(LOLScript), Library(LOLLib)のドキュメント<br>
|
||||||
|
[LOLBAS](https://lolbas-project.github.io/)<br>[GTFOBins(UNIX ver)](https://gtfobins.github.io/)
|
||||||
|
- LOLBinsとしてのの条件
|
||||||
|
> Be a Microsoft-signed file, either native to the OS or downloaded from Microsoft.
|
||||||
|
- LOLBinsで可能なこと
|
||||||
|
- UAC Bypass,Dumping process memory,Credential theft,Log evasion/modification,Persistence,File operations,etc.
|
||||||
|
- よく利用されるLOLBins
|
||||||
|
- todo..
|
||||||
|
### UAC bypass
|
||||||
|
- Windows Publisherによってデジタル署名されている且つ,セキュリティ保護されたフォルダに存在するプログラム(Trusted binary)はUACプロンプトを表示せずに,そのプログラムまたは,そのプログラムを経由して実行されるプログラムを管理者権限で実行させることができる
|
||||||
|
- マルウェアはUACなしで自身を管理者権限で実行させたり,セキュリティソフトのホワイトリストに自身を追加することができるようになる
|
||||||
|
- プログラムのデジタル署名の確認はWindows Sysinternalsのsigcheckと呼ばれるプログラムで確認することができる<br>
|
||||||
|
|
||||||
|
**ref:**
|
||||||
|
- UAC Bypassについて<br>
|
||||||
|
[Bypass User Account Control, MITRE ATT&CK](https://attack.mitre.org/techniques/T1088/)<br>
|
||||||
|
- UAC Bypassのメソッドの紹介及びそれらを利用するためのツール<br>
|
||||||
|
[UACMe](https://github.com/hfiref0x/UACME)
|
||||||
|
- fodhelper.exeによるUAC Bypass,[Trickbotによって利用されるとの情報あり](https://www.bleepingcomputer.com/news/security/trickbot-now-uses-a-windows-10-uac-bypass-to-evade-detection/)(2020-01-16)<br>
|
||||||
|
[First entry: Welcome and fileless UAC bypass](https://winscripting.blog/2017/05/12/first-entry-welcome-and-uac-bypass/)
|
||||||
|
|
||||||
## DGA
|
## DGA
|
||||||
- ドメイン生成アルゴリズム<br>
|
- ドメイン生成アルゴリズム<br>
|
||||||
- 数学的なアルゴリズムを利用して一定間隔ごとに異なる通信先ドメインを生成することにより,ドメイン名での検知を困難にする<br>
|
- 数学的なアルゴリズムを利用して一定間隔ごとに異なる通信先ドメインを生成することにより,ドメイン名での検知を困難にする<br>
|
||||||
|
Loading…
Reference in New Issue
Block a user