mirror of
https://github.com/nganhkhoa/malware.git
synced 2024-06-10 21:32:07 +07:00
Update malware-tech_ref_and_memo.md
This commit is contained in:
parent
3f1ac4b316
commit
34b38cac53
@ -313,6 +313,19 @@ New-Object System.IO.Compression.DeflateStream([iO.mEmoRySTream] [sysTEM.ConVert
|
|||||||
- [Chirp of the PoisonFrog](https://ironnet.com/blog/chirp-of-the-poisonfrog/)
|
- [Chirp of the PoisonFrog](https://ironnet.com/blog/chirp-of-the-poisonfrog/)
|
||||||
- [Glimpse to Glimpse](https://ironnet.com/blog/a-glimpse-into-glimpse/)
|
- [Glimpse to Glimpse](https://ironnet.com/blog/a-glimpse-into-glimpse/)
|
||||||
|
|
||||||
|
## Using SSL/TLS
|
||||||
|
- サーバからのコマンドやデータの送受信や追加のモジュールやペイロードのダウンロードの検出を抑制する目的でSSL/TLSを用いることがある
|
||||||
|
- 特にInformation stealersでは比較的使用される傾向にある(2020/02時点の調査では44%のInformation stealersがSSL/TLSを用いてたらしい)
|
||||||
|
- 代表的なマルウェア
|
||||||
|
- Trickbot
|
||||||
|
- c2,モジュールをダウンロードしたり、機密情報をサーバーに送信したりするのにhttps(443,449)を利用
|
||||||
|
- IcedID
|
||||||
|
- c2,構成ファイルをダウンロードにhttpsを利用(httpも利用する)
|
||||||
|
- Dridex
|
||||||
|
- c2,ぺイロードモジュールをダウンロードしたり、収集したデータを送信したりするのにhttps(443)を利用
|
||||||
|
- ref:
|
||||||
|
- [Nearly a quarter of malware now communicates using TLS](https://news.sophos.com/en-us/2020/02/18/nearly-a-quarter-of-malware-now-communicates-using-tls/?cmp=30728)
|
||||||
|
|
||||||
## Packing
|
## Packing
|
||||||
- 実行形式を保持したまま,実行ファイルを圧縮
|
- 実行形式を保持したまま,実行ファイルを圧縮
|
||||||
- パッキング後のプログラムには展開ルーチン,圧縮されたオリジナルコードが含まれる
|
- パッキング後のプログラムには展開ルーチン,圧縮されたオリジナルコードが含まれる
|
||||||
@ -450,19 +463,7 @@ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
|
|||||||
dig -t txt o-o.myaddr.l.google.com @8.8.8.8 # TXT record
|
dig -t txt o-o.myaddr.l.google.com @8.8.8.8 # TXT record
|
||||||
dig whoami.akamai.net @ns1-1.akamaitech.net
|
dig whoami.akamai.net @ns1-1.akamaitech.net
|
||||||
```
|
```
|
||||||
# C&C communication
|
|
||||||
## Using SSL/TLS
|
|
||||||
- サーバからのコマンドやデータの送受信や追加のモジュールやペイロードのダウンロードの検出を抑制する目的でSSL/TLSを用いることがある
|
|
||||||
- 特にInformation stealersでは比較的使用される傾向にある(2020/02時点の調査では44%のInformation stealersがSSL/TLSを用いてたらしい)
|
|
||||||
- 代表的なマルウェア
|
|
||||||
- Trickbot
|
|
||||||
- c2,モジュールをダウンロードしたり、機密情報をサーバーに送信したりするのにhttps(443,449)を利用
|
|
||||||
- IcedID
|
|
||||||
- c2,構成ファイルをダウンロードにhttpsを利用(httpも利用する)
|
|
||||||
- Dridex
|
|
||||||
- c2,ぺイロードモジュールをダウンロードしたり、収集したデータを送信したりするのにhttps(443)を利用
|
|
||||||
- ref:
|
|
||||||
- [Nearly a quarter of malware now communicates using TLS](https://news.sophos.com/en-us/2020/02/18/nearly-a-quarter-of-malware-now-communicates-using-tls/?cmp=30728)
|
|
||||||
# Delete Data
|
# Delete Data
|
||||||
## Delete Volume Shadow
|
## Delete Volume Shadow
|
||||||
- ランサムウェアはバックアップからの復元を防ぐためにvolume shadowを削除することが多い
|
- ランサムウェアはバックアップからの復元を防ぐためにvolume shadowを削除することが多い
|
||||||
|
Loading…
Reference in New Issue
Block a user