TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

トップ > ツール: EDR > SafeBreach Labs Researcher Discovers Multiple Zero-Day Vulnerabilities in Leading Endpoint Detection and Response (EDR) and Antivirus (AV) Solutions

SafeBreach Labs Researcher Discovers Multiple Zero-Day Vulnerabilities in Leading Endpoint Detection and Response (EDR) and Antivirus (AV) Solutions

ツール: EDR ツール: ウイルス対策ソフト *脆弱性

【概要】

■攻撃方法

  1. 悪意のあるファイルをC:\temp\Windows\System32\drivers\ndis.sys という特別なパスに作成する。
  2. そのハンドルを保持し、EDRまたはAVに削除を次のリブート後まで延期するよう強制する。
  3. C:\temp ディレクトリを削除します。
  4. C:\temp → C:\ というジャンクションを作成します。
  5. リブート


【ブログ】

◆SafeBreach Labs Researcher Discovers Multiple Zero-Day Vulnerabilities in Leading Endpoint Detection and Response (EDR) and Antivirus (AV) Solutions (SafeBreach, 2022/12/07)
[SafeBreachラボの研究者が、主要なエンドポイント検出・応答(EDR)およびアンチウイルス(AV)ソリューションに複数のゼロデイ脆弱性を発見]
https://www.safebreach.com/resources/blog/safebreach-labs-researcher-discovers-multiple-zero-day-vulnerabilities/


【関連まとめ記事】

全体まとめ
 ◆防御技術 (まとめ)

◆ウイルス対策ソフト (まとめ)
https://malware-log.hatenablog.com/entry/Vaccine

 ◆ツール (まとめ)

◆EDR (まとめ)
https://malware-log.hatenablog.com/entry/EDR

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023