Update malware-tech_ref_and_memo.md

2024-06-10 21:32:07 +07:00 · 2020-08-19 00:19:49 +09:00 · 2020-08-19 00:19:49 +09:00 · b9a85909d3
commit b9a85909d3
parent 724fdcc338
1 changed files with 26 additions and 2 deletions
--- a/malware-tech_ref_and_memo.md
+++ b/malware-tech_ref_and_memo.md
@ -314,8 +314,32 @@ New-Object System.IO.Compression.DeflateStream([iO.mEmoRySTream] [sysTEM.ConVert
 			- urn：schemas-upnp-org：service：WANIPConnection：1
 			- urn：schemas-upnp-org：service：WANPPPConnection：1
 			- upnp：rootdevice
-	- 見つかったルータから応答があった際に応答内容からLocation(ドキュメントのアドレス(url):IP+port+path)を取得
+	- 見つかったルータから応答があった場合，応答内容からLocation(UPnPに関するドキュメントを取得するためのアドレス(url):IP+port+path)を取得
-	- 
+	- LocationにHTTP GETでアクセスして，応答(xml)からControlURL(UPnPの設定をするためのIPアドレス)を取得
 	- ルータの外部IPアドレス(x.x.x.x)取得(SOUP POST),SOUPでGetExternlIPAddress関数利用
 	- ポートマッピングの設定をルータに送る(SOUP POST)
 	- ```
 	<?xml version="1.0"?>
 	<SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/" SOAP-ENV:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/">
  	<SOAP-ENV:Body>
    	<m:AddPortMapping xmlns:m="urn:schemas-upnp-org:service:WANPPPConnection:1">
      		<NewRemoteHost>x.x.x.x</NewRemoteHost>
      		<NewExternalPort>449</NewExternalPort>
      		<NewProtocol>TCP</NewProtocol>
      		<NewInternalPort>449</NewInternalPort>
      		<NewInternalClient>192.168.1.2</NewInternalClient>
      		<NewEnabled>1</NewEnabled>
      		<NewPortMappingDescription>Test</NewPortMappingDescription>
      		<NewLeaseDuration>0</NewLeaseDuration>
    	</m:AddPortMapping>
  	</SOAP-ENV:Body>
 	</SOAP-ENV:Envelope>
 	  ```
 - マルウェアの例
 	- Emotet
 	- Qakbot
 - **ref:**
 	- [](https://www.mcafee.com/blogs/other-blogs/mcafee-labs/mcafee-discovers-pinkslipbot-exploiting-infected-machines-as-control-servers-releases-free-tool-to-detect-disable-trojan/)
 ## DNS Tunneling
 - C2通信としてDNSを利用し，ファイアウォールやプロキシでの検出を回避する