Microsoftは、自社製品に対する新しく確認された現在も攻撃に使用されている手法を防止するための方法として、アプリケーション互換性修正のサブセットである「Fix It」パッチをよく使っている。Derbycon 2013では、Mark Baggett氏が「攻撃者はルートキットを作るためにそれを使うことができる」と説明した。そして2014年3月に、わたしはまだ未公開のイン・メモリーパッチの分析を発表し、攻撃者がどのようにそれを使ってパッチを作り、システム上で粘り強さを維持できるかを示した。 今回の講演は、前回の全体的な概観と概要を説明した後、それらが現在どのように使われているのかを説明する。最初に、サード・パーティーが正当な理由でアプリケーション・ツールキットをどのように使っているかを説明し、次に、わたし達が説明してきたメソッドを使う、実際に現在もインターネット上で活動しているマルウェアの事例を2つ紹介する。

2. !
!

3. ! ☺

4. !
!
–
–
–

5. !
!
!
!
!

10. !
!
!
!
!

11. !
!
!
!
!

12. !

13. !
!
!

16. !
–
–
!
–
–

17. –
–
–

18. !
!
!
!
!

19. !
–
!
–
!
–
!
–

21. !
!

22. !

23. !
!
!

24. !
!
!

25. !
–
!
–
!
–
!
–

26. !
–
–
–
–
–
–
–

27. !
!
!

29. !
–
!
–
!
–
!
–

30. !
–
!
!
–
!

31. !
–
!
–
!
–
!
–
!
–

34. •
•
•
•
•

35. •
•
•
•
•

37. !

38. !

40. !

42. •
•
•
•
•
•
•
•

45. !

46. !
!

47. !
!

48. !

49. !

52. !
!
–
!
!

53. !
–
!
–
!
–
!
–

54. !
–
!
!
–
–
–

55. !
!
!
!
!

56. !
–
–
–
–
–
–
–
–

57. !
!

58. !

59. !
!
!
!
!

60. !
!
!

61. !
–
!
–
–

62. !
!
–
!
–
–

63. !

64. !

65. !
–
–
–
!
–
#
#
#

66. !
–
–
!
– ☺
!
!

67. !
!
!
!
!

68. !
!
!
!
!
!
!
!
!
!
!
!
!
!
Proprietary
and
Confiden/al
Informa/on.
©
Copyright
2014,
iSIGHT
Partners,
Inc.
All
Rights
Reserved
www.isightpartners.com
68

69. !

70. !
!
–