【概要】
■攻撃方法
- 悪意のあるファイルをC:\temp\Windows\System32\drivers\ndis.sys という特別なパスに作成する。
- そのハンドルを保持し、EDRまたはAVに削除を次のリブート後まで延期するよう強制する。
- C:\temp ディレクトリを削除します。
- C:\temp → C:\ というジャンクションを作成します。
- リブート
【ブログ】
◆SafeBreach Labs Researcher Discovers Multiple Zero-Day Vulnerabilities in Leading Endpoint Detection and Response (EDR) and Antivirus (AV) Solutions (SafeBreach, 2022/12/07)
[SafeBreachラボの研究者が、主要なエンドポイント検出・応答(EDR)およびアンチウイルス(AV)ソリューションに複数のゼロデイ脆弱性を発見]
https://www.safebreach.com/resources/blog/safebreach-labs-researcher-discovers-multiple-zero-day-vulnerabilities/
【関連まとめ記事】
◆ウイルス対策ソフト (まとめ)
https://malware-log.hatenablog.com/entry/Vaccine
◆EDR (まとめ)
https://malware-log.hatenablog.com/entry/EDR