ボット

最近のボットは、色んなポートを使う。

80番や443番を使用したものもあったが、中身はHTTPでもHTTPSでもない独自か何かの通信だったのもある。

DNSの53番ポートを使ってUDPでTCPセッション管理のような通信をしているものもあった。
ペイロード内にフラグを持っていたから。


ボットといっても攻撃をするための端末を目的とするものではないのが多く、データを抜こうとするのが多い。


検体が保有する暗号鍵で暗号化しているようだが、暗号化方式が分からないのが多々ある。

認証機能を持つマルウェアもあり、認証後、鍵らしきものを配布されて暗号化して通信するものもある。

最初の送信するデータはデバッグしながらなら送っているものは見えるときがあるが、鍵を配布された後のやり取りが判明できない場合が多々ある。

鍵でXORしているだけなら判明できるが、それ以外はまだまだ判明困難なものが多いなぁ。

高度化しているなぁと感じた。