1
0
mirror of https://github.com/nganhkhoa/malware.git synced 2024-06-10 21:32:07 +07:00

Update malware-tech_ref_and_memo.md

This commit is contained in:
mether049 2020-08-18 23:59:25 +09:00 committed by GitHub
parent a05b23ecb7
commit 724fdcc338
No known key found for this signature in database
GPG Key ID: 4AEE18F83AFDEB23

View File

@ -304,6 +304,19 @@ New-Object System.IO.Compression.DeflateStream([iO.mEmoRySTream] [sysTEM.ConVert
**ref:**<br> **ref:**<br>
[Fast Flux networks: What are they and how do they work?](https://www.welivesecurity.com/2017/01/12/fast-flux-networks-work/) [Fast Flux networks: What are they and how do they work?](https://www.welivesecurity.com/2017/01/12/fast-flux-networks-work/)
## Convert to c2 Proxy server(Using UPnP)
- 感染したマシンをUPnP機能を用いてc2サーバのプロキシとして利用する
- ルータのLAN側にある感染端末を外部から接続できるようにUPnP機能を用いてポートマッピングする
- フロー:
- 239.255.255.250:1900宛にマルチキャスト通信してUPnP対応ルータを探索(SSDP利用)
- ST(Search Target)に以下を設定
- urnschemas-upnp-orgdeviceInternetGatewayDevice1
- urnschemas-upnp-orgserviceWANIPConnection1
- urnschemas-upnp-orgserviceWANPPPConnection1
- upnprootdevice
- 見つかったルータから応答があった際に応答内容からLocation(ドキュメントのアドレス(url):IP+port+path)を取得
-
## DNS Tunneling ## DNS Tunneling
- C2通信としてDNSを利用しファイアウォールやプロキシでの検出を回避する - C2通信としてDNSを利用しファイアウォールやプロキシでの検出を回避する
- e.g. - e.g.