From e3792a090dc2114439716313fa9ef3e463652ebb Mon Sep 17 00:00:00 2001 From: mether049 Date: Wed, 19 Aug 2020 00:22:35 +0900 Subject: [PATCH] Update malware-tech_ref_and_memo.md --- malware-tech_ref_and_memo.md | 11 ++++++----- 1 file changed, 6 insertions(+), 5 deletions(-) diff --git a/malware-tech_ref_and_memo.md b/malware-tech_ref_and_memo.md index 1dde745..4563899 100644 --- a/malware-tech_ref_and_memo.md +++ b/malware-tech_ref_and_memo.md @@ -309,16 +309,17 @@ New-Object System.IO.Compression.DeflateStream([iO.mEmoRySTream] [sysTEM.ConVert - ルータのLAN側にある感染端末を外部から接続できるようにUPnP機能を用いてポートマッピングする - フロー: - 239.255.255.250:1900宛にマルチキャスト通信してUPnP対応ルータを探索(SSDP利用) - - ST(Search Target)に以下を設定 + - ST(Search Target)に以下のいずれか?を設定 - urn:schemas-upnp-org:device:InternetGatewayDevice:1 - urn:schemas-upnp-org:service:WANIPConnection:1 - urn:schemas-upnp-org:service:WANPPPConnection:1 - upnp:rootdevice - - 見つかったルータから応答があった場合,応答内容からLocation(UPnPに関するドキュメントを取得するためのアドレス(url):IP+port+path)を取得 + - ルータが見つかり応答があった場合,応答内容からLocation(UPnPに関する情報(ドキュメント)を取得するためのアドレス(url):IP+port+path)を取得 - LocationにHTTP GETでアクセスして,応答(xml)からControlURL(UPnPの設定をするためのIPアドレス)を取得 - ルータの外部IPアドレス(x.x.x.x)取得(SOUP POST),SOUPでGetExternlIPAddress関数利用 - ポートマッピングの設定をルータに送る(SOUP POST) - - ``` + - +``` @@ -334,12 +335,12 @@ New-Object System.IO.Compression.DeflateStream([iO.mEmoRySTream] [sysTEM.ConVert - ``` +``` - マルウェアの例 - Emotet - Qakbot - **ref:** - - [](https://www.mcafee.com/blogs/other-blogs/mcafee-labs/mcafee-discovers-pinkslipbot-exploiting-infected-machines-as-control-servers-releases-free-tool-to-detect-disable-trojan/) + - [McAfee Discovers Pinkslipbot Exploiting Infected Machines as Control Servers; Releases Free Tool to Detect, Disable Trojan](https://www.mcafee.com/blogs/other-blogs/mcafee-labs/mcafee-discovers-pinkslipbot-exploiting-infected-machines-as-control-servers-releases-free-tool-to-detect-disable-trojan/) ## DNS Tunneling - C2通信としてDNSを利用し,ファイアウォールやプロキシでの検出を回避する