第9回tktkセキュリティ勉強会のTweetまとめ(#tktksec)
explorerにinjectionすると,毎回毎回立ち上がるたびに管理者権限取られる。 とったど~~なんて言ってられない 攻撃者はバッチファイルとdllをまとめてexeにして践ませる。 #tktksec
2019-02-02 14:27:28大きいことは…できちゃう。だから小さいことからコツコツと。なお,CompMgmtLauncherはサードパーティのdllをロードするが昇格しなくなった。報償金払いたくなかった?? (SO付与するf社よりケチ??) #tktksec
2019-02-02 14:30:12AoyamaさんのBSides LVのスライドです。 slideshare.net/SoyaAoyama/how… #tktksec
2019-02-02 14:38:34利用上の注意「FileSyncShell64.dll_」というファイル名にしましょう。_がミソ #tktksec
2019-02-02 14:48:53レジストリのshllexの下にあるやつは3rdパーティーツールでも。ユーザ権限で書き換えられるフォルダに対象のdllがあると‥ #tktksec
2019-02-02 14:53:32今回のお菓子も、 Patisserie Yushin(パティスリー遊心)さんです。 #tktksec pic.twitter.com/Q9k1lvW2Zg
2019-02-02 15:05:33ShellExtention→ThirdPartyのdllをほいほい呼んでしまう。 ExplorerはHKEY_CLASSES_ROOTのdllを呼んでしまう。 CompMgmtLauncherはHKEY_LOCAL_MACHINEのdllを読みにかかる。前のver(1607)だとadmin権限でShellExtensionを読みにかかるのでinjection!! 右クリックメニューをやめるか… #tktksec
2019-02-02 15:49:55Windows10のランサムprotectをスルー 2017/5/12は?????? わなくらい みんなcryで みな暗い MSは秋のupdateでransomware protectionを追加 #tktksec
2019-02-02 15:59:56MS:Windows system forder are protected by default.(ドヤ!) User data folderでは??????→System folderは表示されていないだけで保護されてる?? #tktksec
2019-02-02 16:03:53The truth is System forders are NOT protected by default!! Windows user's folders are protected but system folders NOT!! 誤記って誰もがやっちゃうよね!!(ヲイ) #tktksec
2019-02-02 16:08:06MSがfriendlyと認めたappsはalways granted. 俺の友達はみないいやつ理論。 #tktksec
2019-02-02 16:09:42でも,Wordはblockされなかったけど7zipは… どういう仕組みかはMSのみぞ知る。 allowed appの追加と保護したいフォルダの追加がMSramsomware protectionの大きな仕組み。 →ということは……許可されたappにmalware注入すればOK! 前半戦のinjectionで…… をい! #tktksec
2019-02-02 16:15:49LOCAL MACHINEよりもCurrentUserが優先される。 HKCUにdllがかかれていないからHKLMの値が使われるが,HKCUに悪いのを入れちゃうと…… users fileがhogehogeる。 #tktksec
2019-02-02 16:23:02MrAoyama: Oh! That's incovinient truth!! MS : NO!! It's not vulnerable... MSの報償金基準はどうなっておる!#tktksec
2019-02-02 16:24:13