熟練した攻撃者は、絶えず変化する防御環境の中で、回避技術を使用して古いベクトルの有効性を維持しながら、継続的に新しい攻撃ベクトルを探します。これらの攻撃者の多くは、JavaScript や PowerShell などの一般的なスクリプト言語の難読化フレームワークを使用して、これらの言語で書かれた一般的な攻撃的なトレード クラフトのシグネチャ ベースの検出を阻止します。
しかし、これらの一般的なスクリプト言語に対する防御者の可視性が、より優れたロギングと防御ツールによって向上するにつれて、一部のステルス攻撃者は、この追加の可視性をサポートしない言語に彼らの技術をシフトしました.少なくとも、決心した攻撃者は、以前に検出されたペイロードとコマンドに単純な難読化のダッシュを追加して、厳密な検出ルールを破っています。
Black Hat Asia 2018 で最初に発表されたこのDOSfuscation ホワイト ペーパーでは、静的および動的な検出アプローチに影響を与えるコマンド ライン引数の難読化のいくつかの側面に関する 9 か月にわたる研究を紹介します。重要な難読化機能を備えた半ダースの文字をカタログ化することから始めて (実際に使用されていることが確認されているのはそのうちの 2 つだけです)、次に、環境変数の部分文字列エンコーディングの静的検出回避機能に注目します。これらの手法を組み合わせて、cmd.exe のコマンド ラインの入力コマンドと完全に互換性のある、これまでにない 4 つのペイロード難読化アプローチを紹介します。これらの難読化機能は、対話型セッションと非対話型セッションの両方について、現在の cmd.exe セッションで難読化を解除し、すべてのコマンド ライン ロギングを回避します。最後に、これらの新しいエンコーディングおよび難読化機能に必要な構成要素について説明し、防御側がこのジャンルの難読化の検出を開始するために使用できるいくつかのアプローチを概説します。
FireEye の Advanced Practices Team の上級応用セキュリティ研究者として、FireEye の検出プラットフォームに新しい検出機能を研究、開発、および展開して、高度な脅威アクターとその絶え間なく変化する戦術、手法、および手順の先を行く任務を負っています。 FireEye のお客様は、この調査の直接的な結果として、過去 9 か月にわたって開発および展開された革新的な難読化検出機能の多層構造から恩恵を受けています。
DOSfuscation のホワイト ペーパーを今すぐダウンロードしてください。
Daniel Bohannon (@danielhbohannon) は、FireEye の Advanced Practices Team の上級応用セキュリティ研究者です。
参照: https://www.mandiant.com/resources/blog/dosfuscation-exploring-obfuscation-and-detection-techniques
Comments