自分用の備忘録。定期的に記事を見直し、修正が必要な部分は修正すること。
WordPressのFile Managerプラグインのリモートコード実行の脆弱性が公表されました。 File Manager バージョン6.8以前を使用していた場合、connector.minimal.phpというファイルに細工したHTTPリクエストを送ると、任意のコマンドを実行される恐れがあるという内容です。 connector.minimal.phpに細工したHTTP POSTリクエストを送って、WebShell等の悪意のあるファイルをサーバーにアップロードするという攻撃が広く確認されています。 この脆弱性はバージョン6.9で修正されています。
WannaCryとは2017年5月頃に確認され、猛威を振ったをランサムウェアです。なぜ今さら取り上げたのかと言うと、先日このWannaCryを目にする機会があったためです。 WannaCryはすでに色々な人や組織が解析記事を書いています。腕試しにWannaCryを解析して、他所の解析記事と解析結果を比較(答え合わせともいう)してみました。 今回自分が解析したサンプルはmssecsvc.exe (MD5ハッシュ値: 478abb44dbba06e87decd2df49f3d986)およびmssecsvc.exeがドロップしたバイナリです。 ※逆アセンブル内の変数名や関数名は一部解析に当たり、わかりやすいようにデフォルトのものから変更しています。
RunとRunOnceのレジストリキーは、どちらもユーザーのログイン時に指定されたプログラムや処理を自動実行する。 Runキーに登録された処理は、ユーザーがログインするたびに毎回実行されるが、RunOnceキーに登録された処理は、一度実行されると、キーから処理が削除される。 今回はRunOnceの挙動をテストしてみた。