mirror of
https://github.com/nganhkhoa/malware.git
synced 2024-06-10 21:32:07 +07:00
Update malware-tech_ref_and_memo.md
This commit is contained in:
parent
ac314e12ee
commit
3f1ac4b316
@ -450,7 +450,19 @@ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
|
||||
dig -t txt o-o.myaddr.l.google.com @8.8.8.8 # TXT record
|
||||
dig whoami.akamai.net @ns1-1.akamaitech.net
|
||||
```
|
||||
|
||||
# C&C communication
|
||||
## Using SSL/TLS
|
||||
- サーバからのコマンドやデータの送受信や追加のモジュールやペイロードのダウンロードの検出を抑制する目的でSSL/TLSを用いることがある
|
||||
- 特にInformation stealersでは比較的使用される傾向にある(2020/02時点の調査では44%のInformation stealersがSSL/TLSを用いてたらしい)
|
||||
- 代表的なマルウェア
|
||||
- Trickbot
|
||||
- c2,モジュールをダウンロードしたり、機密情報をサーバーに送信したりするのにhttps(443,449)を利用
|
||||
- IcedID
|
||||
- c2,構成ファイルをダウンロードにhttpsを利用(httpも利用する)
|
||||
- Dridex
|
||||
- c2,ぺイロードモジュールをダウンロードしたり、収集したデータを送信したりするのにhttps(443)を利用
|
||||
- ref:
|
||||
- [Nearly a quarter of malware now communicates using TLS](https://news.sophos.com/en-us/2020/02/18/nearly-a-quarter-of-malware-now-communicates-using-tls/?cmp=30728)
|
||||
# Delete Data
|
||||
## Delete Volume Shadow
|
||||
- ランサムウェアはバックアップからの復元を防ぐためにvolume shadowを削除することが多い
|
||||
|
Loading…
Reference in New Issue
Block a user