nganhkhoa/mether049-malware
1
0
Fork 0
mirror of https://github.com/nganhkhoa/malware.git synced 2024-06-10 21:32:07 +07:00
Code Issues Projects Releases Wiki Activity

Update malware-tech_ref_and_memo.md

Browse Source
This commit is contained in:
mether049 2020-06-09 21:55:37 +09:00 committed by GitHub
parent ac314e12ee
commit 3f1ac4b316
No known key found for this signature in database
GPG Key ID: 4AEE18F83AFDEB23
1 changed files with 13 additions and 1 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

14
malware-tech_ref_and_memo.md
View File

@ -450,7 +450,19 @@ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
dig -t txt o-o.myaddr.l.google.com @8.8.8.8 # TXT record dig -t txt o-o.myaddr.l.google.com @8.8.8.8 # TXT record
dig whoami.akamai.net @ns1-1.akamaitech.net dig whoami.akamai.net @ns1-1.akamaitech.net
``` ```
# C&C communication
## Using SSL/TLS
- サーバからのコマンドやデータの送受信や追加のモジュールやペイロードのダウンロードの検出を抑制する目的でSSL/TLSを用いることがある
- 特にInformation stealersでは比較的使用される傾向にある(2020/02時点の調査では44%のInformation stealersがSSL/TLSを用いてたらしい)
- 代表的なマルウェア
- Trickbot
- c2,モジュールをダウンロードしたり、機密情報をサーバーに送信したりするのにhttps(443,449)を利用
- IcedID
- c2,構成ファイルをダウンロードにhttpsを利用(httpも利用する)
- Dridex
- c2,ぺイロードモジュールをダウンロードしたり、収集したデータを送信したりするのにhttps(443)を利用
- ref:
- [Nearly a quarter of malware now communicates using TLS](https://news.sophos.com/en-us/2020/02/18/nearly-a-quarter-of-malware-now-communicates-using-tls/?cmp=30728)
# Delete Data # Delete Data
## Delete Volume Shadow ## Delete Volume Shadow
- ランサムウェアはバックアップからの復元を防ぐためにvolume shadowを削除することが多い - ランサムウェアはバックアップからの復元を防ぐためにvolume shadowを削除することが多い