WMIウイルス:ディスクレス実行を実現
2025-01-29
概念実証プロジェクトであるStuxnetは、悪意のあるコードをWindows管理インストルメンテーション(WMI)に隠してディスクレス実行を実現する新しいウイルスを示しています。このウイルスはWMIをファイルシステムとして使用し、起動時にPowerShellスクリプトを利用してペイロードをメモリに抽出・ロードします。このプロジェクトには、斬新な特権昇格手法と高度なウイルス対策回避技術(オンデマンドでのシステムライブラリのロード、動的な関数オフセットの検索など)が含まれており、主要なウイルス対策ソフトウェアやサンドボックスによる検出を回避できます。また、作成者はWMI内のカーネル空間の脆弱性悪用可能性についても示唆しています。
開発
ウイルス対策回避