mirror of
https://github.com/nganhkhoa/malware.git
synced 2024-06-10 21:32:07 +07:00
Update malware-tech_ref_and_memo.md
This commit is contained in:
parent
a05b23ecb7
commit
724fdcc338
@ -304,6 +304,19 @@ New-Object System.IO.Compression.DeflateStream([iO.mEmoRySTream] [sysTEM.ConVert
|
||||
**ref:**<br>
|
||||
[Fast Flux networks: What are they and how do they work?](https://www.welivesecurity.com/2017/01/12/fast-flux-networks-work/)
|
||||
|
||||
## Convert to c2 Proxy server(Using UPnP)
|
||||
- 感染したマシンをUPnP機能を用いてc2サーバのプロキシとして利用する
|
||||
- ルータのLAN側にある感染端末を外部から接続できるようにUPnP機能を用いてポートマッピングする
|
||||
- フロー:
|
||||
- 239.255.255.250:1900宛にマルチキャスト通信してUPnP対応ルータを探索(SSDP利用)
|
||||
- ST(Search Target)に以下を設定
|
||||
- urn:schemas-upnp-org:device:InternetGatewayDevice:1
|
||||
- urn:schemas-upnp-org:service:WANIPConnection:1
|
||||
- urn:schemas-upnp-org:service:WANPPPConnection:1
|
||||
- upnp:rootdevice
|
||||
- 見つかったルータから応答があった際に応答内容からLocation(ドキュメントのアドレス(url):IP+port+path)を取得
|
||||
-
|
||||
|
||||
## DNS Tunneling
|
||||
- C2通信としてDNSを利用し,ファイアウォールやプロキシでの検出を回避する
|
||||
- e.g.
|
||||
|
Loading…
Reference in New Issue
Block a user