From 3f1ac4b316a951ddc52c807a06744e4117ee5bd8 Mon Sep 17 00:00:00 2001 From: mether049 Date: Tue, 9 Jun 2020 21:55:37 +0900 Subject: [PATCH] Update malware-tech_ref_and_memo.md --- malware-tech_ref_and_memo.md | 14 +++++++++++++- 1 file changed, 13 insertions(+), 1 deletion(-) diff --git a/malware-tech_ref_and_memo.md b/malware-tech_ref_and_memo.md index 7af408d..b0dd9a0 100644 --- a/malware-tech_ref_and_memo.md +++ b/malware-tech_ref_and_memo.md @@ -450,7 +450,19 @@ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp dig -t txt o-o.myaddr.l.google.com @8.8.8.8 # TXT record dig whoami.akamai.net @ns1-1.akamaitech.net ``` - +# C&C communication +## Using SSL/TLS +- サーバからのコマンドやデータの送受信や追加のモジュールやペイロードのダウンロードの検出を抑制する目的でSSL/TLSを用いることがある +- 特にInformation stealersでは比較的使用される傾向にある(2020/02時点の調査では44%のInformation stealersがSSL/TLSを用いてたらしい) +- 代表的なマルウェア + - Trickbot + - c2,モジュールをダウンロードしたり、機密情報をサーバーに送信したりするのにhttps(443,449)を利用 + - IcedID + - c2,構成ファイルをダウンロードにhttpsを利用(httpも利用する) + - Dridex + - c2,ぺイロードモジュールをダウンロードしたり、収集したデータを送信したりするのにhttps(443)を利用 +- ref: + - [Nearly a quarter of malware now communicates using TLS](https://news.sophos.com/en-us/2020/02/18/nearly-a-quarter-of-malware-now-communicates-using-tls/?cmp=30728) # Delete Data ## Delete Volume Shadow - ランサムウェアはバックアップからの復元を防ぐためにvolume shadowを削除することが多い