All Posts

A thumbnail image

検知回避の手法 - PowerShell

しゅーと(@shutingrz)です。 前回の記事では実行ファイルにおいて Windows Defender のリアルタイムスキャン、クラウド保護の検知回避を試みました。 まだ読んでない方はぜひ読んでください。 検知回避の手法 - 実行ファイル AMSIの概念については前回の記事に記載しており、本記事では説明を省略しています。 今回はスクリプトの検知回避に挑戦し、Windows Defender のリアルタイムスキャン・クラウド保護がオンの状態で、PowerS

Apr 10, 2021 - 27 min read
A thumbnail image

検知回避の手法 - 実行ファイル

しゅーとです。今回は実行ファイル、特に.NETプログラムの検知回避に関する記事です。 ペネトレーションテストに携わりたい方だけではなく、Blue Teamの方もアンチウイルスソフト単体の限界を知る意味で有用と思います。 .NETプログラムの例として、セットアップが簡単なC2フレームワークである、Covenant の検知回避をゴールに説明します。 エージェントであるCovenant Gruntは.NETプログラ

Apr 8, 2021 - 26 min read
A thumbnail image

GadgetToJScript を利用した Office VBA のAMSI バイパスと原理

しゅーとです。普段は IoT 機器のリバースエンジニアリングを生業としていますが、最近は流行に乗ってRed Teaming の研究もしています。 今回は WSH (vbs, js, hta) と Office マクロ事情を追ってみました。 WSH (Windows Script Host) は Windows に搭載されているスクリプトエンジンで、VBScript と JScript を実行できます。 Office マクロで動作する機能・言語は様々ありますが、一般的なのは VBA (Visual Basic for Application) です。WSH、特に VBScript と VBA は構文はほとんど同じですが、実行環境は割と違っていたりし

Nov 16, 2020 - 20 min read