マルウェア解析の現場から-03 Gumblar攻撃 | トレンドマイクロ セキュリティ ブログ (ウイルス解析担当者による Trend Micro Security Blog)
どこかで見た定義
これは珍しいテクニックなんですか?
たしか、Gumblar.xは何時からか、脆弱性突いてシェルコード実行したプロセス(IEとか)からid=1xで落としてきたドロッパ(DLL)を復号後、自前で自プロセスにロードさせ、シェルコードからそこにジャンプさせて実行させる方法に変えてきましたね。たしか11月後半。
眠いから覚えてたらまたあとで読み直そう
ここでは分かりやすく「不特定多数のWebサイトに同じ種類のスクリプトを追加することによってマルウェアに感染させようとする手口」のことを「Gumblar攻撃」と呼ぶことにします。
どこかで見た定義
TROJ_BREDOLABの動作で特筆すべきは、ダウンロードしたファイルをファイルとしては保存せずに直接的にプロセスにインジェクションして実行させることです。
これは珍しいテクニックなんですか?
たしか、Gumblar.xは何時からか、脆弱性突いてシェルコード実行したプロセス(IEとか)からid=1xで落としてきたドロッパ(DLL)を復号後、自前で自プロセスにロードさせ、シェルコードからそこにジャンプさせて実行させる方法に変えてきましたね。たしか11月後半。
眠いから覚えてたらまたあとで読み直そう
スポンサーサイト
[2009/11/25 13:45]
2. レジストリのキー・エントリ隠蔽手法の変化の説明に不足があるため補足を追記しました。
5日から6日に取得した二つのGumblarの実行ファイルだけを見て気がついた変化のみを書く。
5月、10月のGumblarから変わってない挙動を勘違いして書いてるかもしれない。
つまり真面目に解析なんてしてないし、ちょっと見て分かる程度のことしか書いてないよってこと。
2. レジストリのキー・エントリ隠蔽手法の変化の説明に不足があるため補足を追記しました。
5日から6日に取得した二つのGumblarの実行ファイルだけを見て気がついた変化のみを書く。
5月、10月のGumblarから変わってない挙動を勘違いして書いてるかもしれない。
つまり真面目に解析なんてしてないし、ちょっと見て分かる程度のことしか書いてないよってこと。
10月26日頃から無害化されていた新Gumblarが11月4日に復活したらしい。
(このブログでGumblarのことを書くのはこれが初めてだけど)
(このブログでGumblarのことを書くのはこれが初めてだけど)
| ホーム |