概要 攻撃者が侵入に成功したWindowsホストで、悪意のあるソフトウェアをダウンロードする場合、何かしらに手法でファイルのダウンロードを命令する必要があります。Internet ExplorerのようなWebブラウザを経由してファイルをダウンロードすることが考えら…

概要 近年盛んであるPowerShellを悪用した攻撃の根幹を成す技術の一つが、PowerShellによるWindows APIプログラミングであることは間違いないでしょう。PowerShellではその豊富な機能により、Windows APIを複数の手法で呼び出すことが可能であるため、カーネ…

概要 情報セキュリティ技術者の実際の業務では、文書ファイルなどに添付された、難読化されたPowerShellスクリプトを解析するということが、担当業務によってはあると考えられます。過去3回の記事ではスクリプトを難読化する手法について解説してきました。…

概要 前回の記事および前々回の記事に引き続き、今回もPowerShellの難読化の手法について記述します。 コメントアウトの挿入による難読化 前回の記事ではバッククオート記号の挿入による難読化手法を取り上げましたが、コメントアウトを挿入することによって…

概要 前回の記事に引き続き、今回もPowerShellの難読化の手法について記述します。 ドット記号によるスクリプトの実行 前回の記事では、アンパサンド記号によりInvoke-Expressionを実行する手法を取り上げましたが、ドット記号もアンパサンド記号と同様の動…

概要 悪意のあるコードを実行させようとした場合、平文でそのまま実行させようとしても、何かしらのセキュリティ機構に検知されてしまいます。そこで攻撃者は、難読化を施すことでセキュリティ機構を潜り抜けて、悪意のあるコードの実行を試みます。近年のPo…