mirror of
https://github.com/nganhkhoa/malware.git
synced 2024-06-10 21:32:07 +07:00
Update malware-tech_ref_and_memo.md
This commit is contained in:
mether049
GitHub
parent
a05b23ecb7
commit
724fdcc338
@ -304,6 +304,19 @@ New-Object System.IO.Compression.DeflateStream([iO.mEmoRySTream] [sysTEM.ConVert
|
|||||||
**ref:**<br>
|
**ref:**<br>
|
||||||
[Fast Flux networks: What are they and how do they work?](https://www.welivesecurity.com/2017/01/12/fast-flux-networks-work/)
|
[Fast Flux networks: What are they and how do they work?](https://www.welivesecurity.com/2017/01/12/fast-flux-networks-work/)
|
||||||
|
|
||||||
|
## Convert to c2 Proxy server(Using UPnP)
|
||||||
|
- 感染したマシンをUPnP機能を用いてc2サーバのプロキシとして利用する
|
||||||
|
- ルータのLAN側にある感染端末を外部から接続できるようにUPnP機能を用いてポートマッピングする
|
||||||
|
- フロー:
|
||||||
|
- 239.255.255.250:1900宛にマルチキャスト通信してUPnP対応ルータを探索(SSDP利用)
|
||||||
|
- ST(Search Target)に以下を設定
|
||||||
|
- urn:schemas-upnp-org:device:InternetGatewayDevice:1
|
||||||
|
- urn:schemas-upnp-org:service:WANIPConnection:1
|
||||||
|
- urn:schemas-upnp-org:service:WANPPPConnection:1
|
||||||
|
- upnp:rootdevice
|
||||||
|
- 見つかったルータから応答があった際に応答内容からLocation(ドキュメントのアドレス(url):IP+port+path)を取得
|
||||||
|
-
|
||||||
|
|
||||||
## DNS Tunneling
|
## DNS Tunneling
|
||||||
- C2通信としてDNSを利用し,ファイアウォールやプロキシでの検出を回避する
|
- C2通信としてDNSを利用し,ファイアウォールやプロキシでの検出を回避する
|
||||||
- e.g.
|
- e.g.
|
||||||
|
|||||||
Loading…
Reference in New Issue
Block a user