mirror of
https://github.com/nganhkhoa/malware.git
synced 2024-06-10 21:32:07 +07:00
Update malware-tech_ref_and_memo.md
This commit is contained in:
parent
e4fc2497b0
commit
175b79e2e3
@ -288,6 +288,21 @@ New-Object System.IO.Compression.DeflateStream([iO.mEmoRySTream] [sysTEM.ConVert
|
|||||||
**ref:**<br>
|
**ref:**<br>
|
||||||
[Fast Flux networks: What are they and how do they work?](https://www.welivesecurity.com/2017/01/12/fast-flux-networks-work/)
|
[Fast Flux networks: What are they and how do they work?](https://www.welivesecurity.com/2017/01/12/fast-flux-networks-work/)
|
||||||
|
|
||||||
|
## DNS Tunneling
|
||||||
|
- C2通信としてDNSを利用し,ファイアウォールやプロキシでの検出を回避する
|
||||||
|
- i.e
|
||||||
|
- サブドメインにコマンド要求,処理結果等のデータを付加してDNSで各種レコードの問い合わせを行うことで,C2サーバとの通信を行う
|
||||||
|
- Aレコードに含まれるIPアドレスの~オクテットの値をc2サーバからのコマンドとして解釈し処理する
|
||||||
|
- TXTレコードに含まれるテキストをc2サーバからのコマンドとして解釈し処理する
|
||||||
|
- sample:
|
||||||
|
- [477296cc6b85584f0706d2384f22b96e,PoisonFrog](https://www.virustotal.com/gui/file/0f20995d431abce885b8bd7dec1013cc1ef7c73886029c67df53101ea330436c/detection)
|
||||||
|
- [ANY.RUN](https://app.any.run/tasks/3befa970-3e7f-47ee-9c2d-be5494b8e2f2/)
|
||||||
|
- [6e86c57385d26a59c0df1580454b9967,Glimpse](https://www.virustotal.com/gui/file/eb1ded644e7491f3f60982be9652cbe40b0c819329927ea654cb43e40acb9b1c/detection)
|
||||||
|
- [ANY.RUN](https://app.any.run/tasks/1009047d-aea0-46c9-918d-6fe6ecb68ee8/)
|
||||||
|
- ref:
|
||||||
|
- [Chirp of the PoisonFrog](https://ironnet.com/blog/chirp-of-the-poisonfrog/)
|
||||||
|
- [Glimpse to Glimpse](https://ironnet.com/blog/a-glimpse-into-glimpse/)
|
||||||
|
|
||||||
## Packing
|
## Packing
|
||||||
- 実行形式を保持したまま,実行ファイルを圧縮
|
- 実行形式を保持したまま,実行ファイルを圧縮
|
||||||
- パッキング後のプログラムには展開ルーチン,圧縮されたオリジナルコードが含まれる
|
- パッキング後のプログラムには展開ルーチン,圧縮されたオリジナルコードが含まれる
|
||||||
|
Loading…
Reference in New Issue
Block a user