mirror of
https://github.com/nganhkhoa/malware.git
synced 2024-06-10 21:32:07 +07:00
Update malware-tech_ref_and_memo.md
This commit is contained in:
parent
e3792a090d
commit
73afc94e2b
@ -305,7 +305,7 @@ New-Object System.IO.Compression.DeflateStream([iO.mEmoRySTream] [sysTEM.ConVert
|
||||
[Fast Flux networks: What are they and how do they work?](https://www.welivesecurity.com/2017/01/12/fast-flux-networks-work/)
|
||||
|
||||
## Convert to c2 Proxy server(Using UPnP)
|
||||
- 感染したマシンをUPnP機能を用いてc2サーバのプロキシとして利用する
|
||||
- 感染端末をUPnP機能を用いてc2サーバのプロキシとして利用する
|
||||
- ルータのLAN側にある感染端末を外部から接続できるようにUPnP機能を用いてポートマッピングする
|
||||
- フロー:
|
||||
- 239.255.255.250:1900宛にマルチキャスト通信してUPnP対応ルータを探索(SSDP利用)
|
||||
@ -314,11 +314,11 @@ New-Object System.IO.Compression.DeflateStream([iO.mEmoRySTream] [sysTEM.ConVert
|
||||
- urn:schemas-upnp-org:service:WANIPConnection:1
|
||||
- urn:schemas-upnp-org:service:WANPPPConnection:1
|
||||
- upnp:rootdevice
|
||||
- ルータが見つかり応答があった場合,応答内容からLocation(UPnPに関する情報(ドキュメント)を取得するためのアドレス(url):IP+port+path)を取得
|
||||
- UPnP対応ルータが見つかり応答があった場合,応答内容からLocation(UPnPに関する情報(ドキュメント)を取得するためのアドレス(url):IP+port+path)を取得
|
||||
- LocationにHTTP GETでアクセスして,応答(xml)からControlURL(UPnPの設定をするためのIPアドレス)を取得
|
||||
- ルータの外部IPアドレス(x.x.x.x)取得(SOUP POST),SOUPでGetExternlIPAddress関数利用
|
||||
- ポートマッピングの設定をルータに送る(SOUP POST)
|
||||
-
|
||||
- 例
|
||||
```
|
||||
<?xml version="1.0"?>
|
||||
<SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/" SOAP-ENV:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/">
|
||||
|
Loading…
Reference in New Issue
Block a user