From b9a85909d306619b54166e14b5c18009003bed24 Mon Sep 17 00:00:00 2001 From: mether049 Date: Wed, 19 Aug 2020 00:19:49 +0900 Subject: [PATCH] Update malware-tech_ref_and_memo.md --- malware-tech_ref_and_memo.md | 28 ++++++++++++++++++++++++++-- 1 file changed, 26 insertions(+), 2 deletions(-) diff --git a/malware-tech_ref_and_memo.md b/malware-tech_ref_and_memo.md index b65a49d..1dde745 100644 --- a/malware-tech_ref_and_memo.md +++ b/malware-tech_ref_and_memo.md @@ -314,8 +314,32 @@ New-Object System.IO.Compression.DeflateStream([iO.mEmoRySTream] [sysTEM.ConVert - urn:schemas-upnp-org:service:WANIPConnection:1 - urn:schemas-upnp-org:service:WANPPPConnection:1 - upnp:rootdevice - - 見つかったルータから応答があった際に応答内容からLocation(ドキュメントのアドレス(url):IP+port+path)を取得 - - + - 見つかったルータから応答があった場合,応答内容からLocation(UPnPに関するドキュメントを取得するためのアドレス(url):IP+port+path)を取得 + - LocationにHTTP GETでアクセスして,応答(xml)からControlURL(UPnPの設定をするためのIPアドレス)を取得 + - ルータの外部IPアドレス(x.x.x.x)取得(SOUP POST),SOUPでGetExternlIPAddress関数利用 + - ポートマッピングの設定をルータに送る(SOUP POST) + - ``` + + + + + x.x.x.x + 449 + TCP + 449 + 192.168.1.2 + 1 + Test + 0 + + + + ``` +- マルウェアの例 + - Emotet + - Qakbot +- **ref:** + - [](https://www.mcafee.com/blogs/other-blogs/mcafee-labs/mcafee-discovers-pinkslipbot-exploiting-infected-machines-as-control-servers-releases-free-tool-to-detect-disable-trojan/) ## DNS Tunneling - C2通信としてDNSを利用し,ファイアウォールやプロキシでの検出を回避する