1
0
mirror of https://github.com/nganhkhoa/malware.git synced 2024-06-10 21:32:07 +07:00

Update malware-tech_ref_and_memo.md

This commit is contained in:
mether049 2020-02-24 19:39:44 +09:00 committed by GitHub
parent e4fc2497b0
commit 175b79e2e3
No known key found for this signature in database
GPG Key ID: 4AEE18F83AFDEB23

View File

@ -288,6 +288,21 @@ New-Object System.IO.Compression.DeflateStream([iO.mEmoRySTream] [sysTEM.ConVert
**ref:**<br> **ref:**<br>
[Fast Flux networks: What are they and how do they work?](https://www.welivesecurity.com/2017/01/12/fast-flux-networks-work/) [Fast Flux networks: What are they and how do they work?](https://www.welivesecurity.com/2017/01/12/fast-flux-networks-work/)
## DNS Tunneling
- C2通信としてDNSを利用しファイアウォールやプロキシでの検出を回避する
- i.e
- サブドメインにコマンド要求処理結果等のデータを付加してDNSで各種レコードの問い合わせを行うことでC2サーバとの通信を行う
- Aレコードに含まれるIPアドレスの~オクテットの値をc2サーバからのコマンドとして解釈し処理する
- TXTレコードに含まれるテキストをc2サーバからのコマンドとして解釈し処理する
- sample:
- [477296cc6b85584f0706d2384f22b96e,PoisonFrog](https://www.virustotal.com/gui/file/0f20995d431abce885b8bd7dec1013cc1ef7c73886029c67df53101ea330436c/detection)
- [ANY.RUN](https://app.any.run/tasks/3befa970-3e7f-47ee-9c2d-be5494b8e2f2/)
- [6e86c57385d26a59c0df1580454b9967,Glimpse](https://www.virustotal.com/gui/file/eb1ded644e7491f3f60982be9652cbe40b0c819329927ea654cb43e40acb9b1c/detection)
- [ANY.RUN](https://app.any.run/tasks/1009047d-aea0-46c9-918d-6fe6ecb68ee8/)
- ref:
- [Chirp of the PoisonFrog](https://ironnet.com/blog/chirp-of-the-poisonfrog/)
- [Glimpse to Glimpse](https://ironnet.com/blog/a-glimpse-into-glimpse/)
## Packing ## Packing
- 実行形式を保持したまま,実行ファイルを圧縮 - 実行形式を保持したまま,実行ファイルを圧縮
- パッキング後のプログラムには展開ルーチン,圧縮されたオリジナルコードが含まれる - パッキング後のプログラムには展開ルーチン,圧縮されたオリジナルコードが含まれる