Update malware-tech_ref_and_memo.md

2024-06-10 21:32:07 +07:00 · 2020-08-19 00:19:49 +09:00 · 2020-08-19 00:19:49 +09:00 · b9a85909d3
commit b9a85909d3
parent 724fdcc338
1 changed files with 26 additions and 2 deletions
--- a/malware-tech_ref_and_memo.md
+++ b/malware-tech_ref_and_memo.md
@ -314,8 +314,32 @@ New-Object System.IO.Compression.DeflateStream([iO.mEmoRySTream] [sysTEM.ConVert
 			- urn：schemas-upnp-org：service：WANIPConnection：1
 			- urn：schemas-upnp-org：service：WANPPPConnection：1
 			- upnp：rootdevice
-	- 見つかったルータから応答があった際に応答内容からLocation(ドキュメントのアドレス(url):IP+port+path)を取得
-	- 
+	- 見つかったルータから応答があった場合，応答内容からLocation(UPnPに関するドキュメントを取得するためのアドレス(url):IP+port+path)を取得
+	- LocationにHTTP GETでアクセスして，応答(xml)からControlURL(UPnPの設定をするためのIPアドレス)を取得
+	- ルータの外部IPアドレス(x.x.x.x)取得(SOUP POST),SOUPでGetExternlIPAddress関数利用
+	- ポートマッピングの設定をルータに送る(SOUP POST)
+	- ```
+	<?xml version="1.0"?>
+	<SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/" SOAP-ENV:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/">
+  	<SOAP-ENV:Body>
+    	<m:AddPortMapping xmlns:m="urn:schemas-upnp-org:service:WANPPPConnection:1">
+      		<NewRemoteHost>x.x.x.x</NewRemoteHost>
+      		<NewExternalPort>449</NewExternalPort>
+      		<NewProtocol>TCP</NewProtocol>
+      		<NewInternalPort>449</NewInternalPort>
+      		<NewInternalClient>192.168.1.2</NewInternalClient>
+      		<NewEnabled>1</NewEnabled>
+      		<NewPortMappingDescription>Test</NewPortMappingDescription>
+      		<NewLeaseDuration>0</NewLeaseDuration>
+    	</m:AddPortMapping>
+  	</SOAP-ENV:Body>
+	</SOAP-ENV:Envelope>
+	  ```
+- マルウェアの例
+	- Emotet
+	- Qakbot
+- **ref:**
+	- [](https://www.mcafee.com/blogs/other-blogs/mcafee-labs/mcafee-discovers-pinkslipbot-exploiting-infected-machines-as-control-servers-releases-free-tool-to-detect-disable-trojan/)

 ## DNS Tunneling
 - C2通信としてDNSを利用し，ファイアウォールやプロキシでの検出を回避する