1
0
mirror of https://github.com/nganhkhoa/malware.git synced 2024-06-10 21:32:07 +07:00

Update malware-tech_ref_and_memo.md

This commit is contained in:
mether049 2020-06-09 21:59:51 +09:00 committed by GitHub
parent 3f1ac4b316
commit 34b38cac53
No known key found for this signature in database
GPG Key ID: 4AEE18F83AFDEB23

View File

@ -313,6 +313,19 @@ New-Object System.IO.Compression.DeflateStream([iO.mEmoRySTream] [sysTEM.ConVert
- [Chirp of the PoisonFrog](https://ironnet.com/blog/chirp-of-the-poisonfrog/)
- [Glimpse to Glimpse](https://ironnet.com/blog/a-glimpse-into-glimpse/)
## Using SSL/TLS
- サーバからのコマンドやデータの送受信や追加のモジュールやペイロードのダウンロードの検出を抑制する目的でSSL/TLSを用いることがある
- 特にInformation stealersでは比較的使用される傾向にある(2020/02時点の調査では44%のInformation stealersがSSL/TLSを用いてたらしい)
- 代表的なマルウェア
- Trickbot
- c2,モジュールをダウンロードしたり、機密情報をサーバーに送信したりするのにhttps(443,449)を利用
- IcedID
- c2,構成ファイルをダウンロードにhttpsを利用(httpも利用する)
- Dridex
- c2,ぺイロードモジュールをダウンロードしたり、収集したデータを送信したりするのにhttps(443)を利用
- ref:
- [Nearly a quarter of malware now communicates using TLS](https://news.sophos.com/en-us/2020/02/18/nearly-a-quarter-of-malware-now-communicates-using-tls/?cmp=30728)
## Packing
- 実行形式を保持したまま,実行ファイルを圧縮
- パッキング後のプログラムには展開ルーチン,圧縮されたオリジナルコードが含まれる
@ -450,19 +463,7 @@ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
dig -t txt o-o.myaddr.l.google.com @8.8.8.8 # TXT record
dig whoami.akamai.net @ns1-1.akamaitech.net
```
# C&C communication
## Using SSL/TLS
- サーバからのコマンドやデータの送受信や追加のモジュールやペイロードのダウンロードの検出を抑制する目的でSSL/TLSを用いることがある
- 特にInformation stealersでは比較的使用される傾向にある(2020/02時点の調査では44%のInformation stealersがSSL/TLSを用いてたらしい)
- 代表的なマルウェア
- Trickbot
- c2,モジュールをダウンロードしたり、機密情報をサーバーに送信したりするのにhttps(443,449)を利用
- IcedID
- c2,構成ファイルをダウンロードにhttpsを利用(httpも利用する)
- Dridex
- c2,ぺイロードモジュールをダウンロードしたり、収集したデータを送信したりするのにhttps(443)を利用
- ref:
- [Nearly a quarter of malware now communicates using TLS](https://news.sophos.com/en-us/2020/02/18/nearly-a-quarter-of-malware-now-communicates-using-tls/?cmp=30728)
# Delete Data
## Delete Volume Shadow
- ランサムウェアはバックアップからの復元を防ぐためにvolume shadowを削除することが多い