マルウェア解析の現場から-03 Gumblar攻撃 | トレンドマイクロ セキュリティ ブログ (ウイルス解析担当者による Trend Micro Security Blog)
どこかで見た定義
これは珍しいテクニックなんですか?
たしか、Gumblar.xは何時からか、脆弱性突いてシェルコード実行したプロセス(IEとか)からid=1xで落としてきたドロッパ(DLL)を復号後、自前で自プロセスにロードさせ、シェルコードからそこにジャンプさせて実行させる方法に変えてきましたね。たしか11月後半。
眠いから覚えてたらまたあとで読み直そう
ここでは分かりやすく「不特定多数のWebサイトに同じ種類のスクリプトを追加することによってマルウェアに感染させようとする手口」のことを「Gumblar攻撃」と呼ぶことにします。
どこかで見た定義
TROJ_BREDOLABの動作で特筆すべきは、ダウンロードしたファイルをファイルとしては保存せずに直接的にプロセスにインジェクションして実行させることです。
これは珍しいテクニックなんですか?
たしか、Gumblar.xは何時からか、脆弱性突いてシェルコード実行したプロセス(IEとか)からid=1xで落としてきたドロッパ(DLL)を復号後、自前で自プロセスにロードさせ、シェルコードからそこにジャンプさせて実行させる方法に変えてきましたね。たしか11月後半。
眠いから覚えてたらまたあとで読み直そう
| ホーム |
