【ニュース】
◆FILELESS UAC BYPASS USES WINDOWS BACKUP AND RESTORE UTILITY (threat post, 2017/03/27 12:13)
https://threatpost.com/fileless-uac-bypass-uses-windows-backup-and-restore-utility/124579/
⇒ https://malware-log.hatenablog.com/entry/2017/03/29/000000
◆Windows UACを回避するテクニック発見 - 攻撃に応用の可能性 (マイナビニュース, 2017/03/29)
http://news.mynavi.jp/news/2017/03/29/102/
⇒ https://malware-log.hatenablog.com/entry/2017/03/29/000000
◆Elevated COM Object UAC Bypass (WIN 7) (WikiLeaks, 2017/03/29)
https://wikileaks.org/ciav7p1/cms/page_3375231.html
⇒ https://malware-log.hatenablog.com/entry/2017/03/29/000000_9
◆Research on CMSTP.exe (MSitPros.com, 2017/08/15)
https://msitpros.com/?p=3960
⇒ https://malware-log.hatenablog.com/entry/2017/08/15/000000_8
◆runas コマンドで UAC 回避する方法 (Scrap 2nd., 2017/11/28)
https://kzstock.blogspot.jp/2017/11/runas-uac.html
⇒ https://malware-log.hatenablog.com/entry/2017/11/28/000000_8
◆TrickBot Now Uses a Windows 10 UAC Bypass to Evade Detection (BleepingComputer, 2020/01/16 16:00)
https://www.bleepingcomputer.com/news/security/trickbot-now-uses-a-windows-10-uac-bypass-to-evade-detection/
⇒ https://malware-log.hatenablog.com/entry/2020/01/16/000000_10
【ブログ】
◆UAC回避機能を複数搭載したランサムウェア「HkCrypt」 (MSBD, 2017/10/12)
https://www.mbsd.jp/blog/20171012.html
⇒ https://malware-log.hatenablog.com/entry/2017/10/12/000000_7
【公開情報】
◆Windows 7 ユーザー アカウント制御の内部 (Microsoft, 2009/07)
https://technet.microsoft.com/ja-jp/library/2009.07.uac.aspx
⇒ https://malware-log.hatenablog.com/entry/2009/07/31/000000
◆Dridexが用いる新たなUAC回避手法 (JPCERT/CC, 2015/02/09)
https://www.jpcert.or.jp/magazine/acreport-uac-bypass.html
⇒ https://malware-log.hatenablog.com/entry/2015/02/09/000000
◆“FILELESS” UAC BYPASS USING SDCLT.EXE (ENIGMA0X3, 2017/03/17)
https://enigma0x3.net/2017/03/17/fileless-uac-bypass-using-sdclt-exe/
⇒ https://malware-log.hatenablog.com/entry/2017/03/29/000000
【資料】
◆Reading Your Way Around UAC (Part 1) (Tyranid's Lair, 2017/05/25)
https://tyranidslair.blogspot.no/2017/05/reading-your-way-around-uac-part-1.html
⇒ https://malware-log.hatenablog.com/entry/2017/08/15/000000_8
◆Reading Your Way Around UAC (Part 2) (Tyranid's Lair, 2017/05/25)
https://tyranidslair.blogspot.no/2017/05/reading-your-way-around-uac-part-2.html
⇒ https://malware-log.hatenablog.com/entry/2017/08/15/000000_8
◆Reading Your Way Around UAC (Part 3) (Tyranid's Lair, 2017/05/25)
https://tyranidslair.blogspot.no/2017/05/reading-your-way-around-uac-part-3.html
⇒ https://malware-log.hatenablog.com/entry/2017/08/15/000000_8
【ツール】
◆Misc-PowerShell-Stuff(enigma0x3)
https://github.com/enigma0x3/Misc-PowerShell-Stuff/blob/master/Invoke-SDCLTBypass.ps1
⇒ https://malware-log.hatenablog.com/entry/2017/03/29/000000
【関連情報】
◆Windows 7 ユーザー アカウント制御の内部 (Microsoft, 2009/07)
https://technet.microsoft.com/ja-jp/library/2009.07.uac.aspx
⇒ https://malware-log.hatenablog.com/entry/2015/02/09/000000
◆Dridex (まとめ)
https://malware-log.hatenablog.com/entry/Dridex
【図表】
Dridexに感染する過程
従来のUAC回避手法
新たなUAC回避手法
出典: https://www.jpcert.or.jp/magazine/acreport-uac-bypass.html
出典: https://www.mbsd.jp/blog/20171012.html
【関連まとめ記事】
◆攻撃手法 (まとめ)
https://malware-log.hatenablog.com/entry/Attack_Method
