TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

UAC回避 (まとめ)

【ニュース】

◆FILELESS UAC BYPASS USES WINDOWS BACKUP AND RESTORE UTILITY (threat post, 2017/03/27 12:13)
https://threatpost.com/fileless-uac-bypass-uses-windows-backup-and-restore-utility/124579/
https://malware-log.hatenablog.com/entry/2017/03/29/000000

◆Windows UACを回避するテクニック発見 - 攻撃に応用の可能性 (マイナビニュース, 2017/03/29)
http://news.mynavi.jp/news/2017/03/29/102/
https://malware-log.hatenablog.com/entry/2017/03/29/000000

◆Elevated COM Object UAC Bypass (WIN 7) (WikiLeaks, 2017/03/29)
https://wikileaks.org/ciav7p1/cms/page_3375231.html
https://malware-log.hatenablog.com/entry/2017/03/29/000000_9

◆Research on CMSTP.exe (MSitPros.com, 2017/08/15)
https://msitpros.com/?p=3960
https://malware-log.hatenablog.com/entry/2017/08/15/000000_8

◆runas コマンドで UAC 回避する方法 (Scrap 2nd., 2017/11/28)
https://kzstock.blogspot.jp/2017/11/runas-uac.html
https://malware-log.hatenablog.com/entry/2017/11/28/000000_8

◆TrickBot Now Uses a Windows 10 UAC Bypass to Evade Detection (BleepingComputer, 2020/01/16 16:00)
https://www.bleepingcomputer.com/news/security/trickbot-now-uses-a-windows-10-uac-bypass-to-evade-detection/
https://malware-log.hatenablog.com/entry/2020/01/16/000000_10


【ブログ】

◆UAC回避機能を複数搭載したランサムウェア「HkCrypt」 (MSBD, 2017/10/12)
https://www.mbsd.jp/blog/20171012.html
https://malware-log.hatenablog.com/entry/2017/10/12/000000_7


【公開情報】

◆Windows 7 ユーザー アカウント制御の内部 (Microsoft, 2009/07)
https://technet.microsoft.com/ja-jp/library/2009.07.uac.aspx
https://malware-log.hatenablog.com/entry/2009/07/31/000000

◆Dridexが用いる新たなUAC回避手法 (JPCERT/CC, 2015/02/09)
https://www.jpcert.or.jp/magazine/acreport-uac-bypass.html
https://malware-log.hatenablog.com/entry/2015/02/09/000000

◆“FILELESS” UAC BYPASS USING SDCLT.EXE (ENIGMA0X3, 2017/03/17)
https://enigma0x3.net/2017/03/17/fileless-uac-bypass-using-sdclt-exe/
https://malware-log.hatenablog.com/entry/2017/03/29/000000


【資料】

◆Reading Your Way Around UAC (Part 1) (Tyranid's Lair, 2017/05/25)
https://tyranidslair.blogspot.no/2017/05/reading-your-way-around-uac-part-1.html
https://malware-log.hatenablog.com/entry/2017/08/15/000000_8

◆Reading Your Way Around UAC (Part 2) (Tyranid's Lair, 2017/05/25)
https://tyranidslair.blogspot.no/2017/05/reading-your-way-around-uac-part-2.html
https://malware-log.hatenablog.com/entry/2017/08/15/000000_8

◆Reading Your Way Around UAC (Part 3) (Tyranid's Lair, 2017/05/25)
https://tyranidslair.blogspot.no/2017/05/reading-your-way-around-uac-part-3.html
https://malware-log.hatenablog.com/entry/2017/08/15/000000_8


【ツール】

◆Misc-PowerShell-Stuff(enigma0x3)
https://github.com/enigma0x3/Misc-PowerShell-Stuff/blob/master/Invoke-SDCLTBypass.ps1
https://malware-log.hatenablog.com/entry/2017/03/29/000000


【関連情報】

◆Windows 7 ユーザー アカウント制御の内部 (Microsoft, 2009/07)
https://technet.microsoft.com/ja-jp/library/2009.07.uac.aspx
https://malware-log.hatenablog.com/entry/2015/02/09/000000

◆Dridex (まとめ)
https://malware-log.hatenablog.com/entry/Dridex


【図表】

f:id:tanigawa:20180720211755j:plain
Dridexに感染する過程
f:id:tanigawa:20180720211837j:plain
従来のUAC回避手法
f:id:tanigawa:20180720211907j:plain
新たなUAC回避手法
出典: https://www.jpcert.or.jp/magazine/acreport-uac-bypass.html

f:id:tanigawa:20171015170319p:plain
出典: https://www.mbsd.jp/blog/20171012.html


【関連まとめ記事】

全体まとめ

◆攻撃手法 (まとめ)
https://malware-log.hatenablog.com/entry/Attack_Method


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023