Binary Pulsar

技術寄りなセキュリティの話題について書きます

Windows

Structured Exception Handlingとセキュリティ

概要 Structured Exception Handling (SEH)は、Windows OSに実装されている、プログラムの例外を処理する機構です。本記事では、SEHの概要とともに、SEHに関するセキュリティの話題について解説します。 SEHの概要 SEHはWindows OSのプログラムの例外を処理…

Net-LTLMv1認証の危険性

概要 前回の記事では、Pass-the-Hashの手法について解説しました。 binary-pulsar.hatenablog.jp その際にNet-NTLMv2認証について解説しましたが、v2があるということはv1も存在します。Net-NTLMv1認証については、Pass-the-Hashの解説をする上ではそこまで…

Pass-the-Hashの仕組み

概要 近年、Active Directoryで構築されたネットワークを侵害する上で、もっとも悪用されている手法の一つはPass-the-Hashと言えるでしょう。組織のActive Directoryドメインのネットワークへの侵入に成功した攻撃者は、Pass-the-Hashの手法を用いることで、…

Windows OSのコマンドラインでファイルをダウンロードする手法のまとめ

概要 攻撃者が侵入に成功したWindowsホストで、悪意のあるソフトウェアをダウンロードする場合、何かしらに手法でファイルのダウンロードを命令する必要があります。Internet ExplorerのようなWebブラウザを経由してファイルをダウンロードすることが考えら…

rundll32.exeを悪用した命令の実行

概要 攻撃者がWindowsシステムへの侵入に成功し、悪意のあるファイルを実行する際に、EXEファイルだと都合が悪いため様々な手法でファイルの実行を試みます。アンチウイルスソフトにファイルが検知されてしまうことはもちろんですが、侵入したWindowsシステ…

DDE機能を悪用したMicrosoft Officeによる遠隔コード実行の手法とその対策

概要 近年のサイバー攻撃において、組織のネットワークに侵入する手法として代表的な手法の一つは、Microsoft Officeによる悪意のあるプログラムの実行であるといえるでしょう。Microsoft Officeによる悪意のあるプログラムの実行と言えば、マクロ機能を悪用…

ReflectionによりPowerShellでWindows APIを呼び出す手法

概要 近年盛んであるPowerShellを悪用した攻撃の根幹を成す技術の一つが、PowerShellによるWindows APIプログラミングであることは間違いないでしょう。PowerShellではその豊富な機能により、Windows APIを複数の手法で呼び出すことが可能であるため、カーネ…

PowerShellの難読化解除

概要 情報セキュリティ技術者の実際の業務では、文書ファイルなどに添付された、難読化されたPowerShellスクリプトを解析するということが、担当業務によってはあると考えられます。過去3回の記事ではスクリプトを難読化する手法について解説してきました。…

PowerShell難読化の基礎 (3)

概要 前回の記事および前々回の記事に引き続き、今回もPowerShellの難読化の手法について記述します。 コメントアウトの挿入による難読化 前回の記事ではバッククオート記号の挿入による難読化手法を取り上げましたが、コメントアウトを挿入することによって…

PowerShell難読化の基礎 (2)

概要 前回の記事に引き続き、今回もPowerShellの難読化の手法について記述します。 ドット記号によるスクリプトの実行 前回の記事では、アンパサンド記号によりInvoke-Expressionを実行する手法を取り上げましたが、ドット記号もアンパサンド記号と同様の動…

PowerShell難読化の基礎 (1)

概要 悪意のあるコードを実行させようとした場合、平文でそのまま実行させようとしても、何かしらのセキュリティ機構に検知されてしまいます。そこで攻撃者は、難読化を施すことでセキュリティ機構を潜り抜けて、悪意のあるコードの実行を試みます。近年のPo…