# ,�@������@����.�@�� ���C�E��(��)�B�@E�A�� �B�����A@C@�@����D��C�@� ###### ������A@���AD������������@A��B��B ��A��C������B�B����C 2-��A��(�A�@������� ----- ###### • �ar���u���l��C�X� # ��VW ###### �����������)�����2������������� ����������2�������������@������������� ----- ## ������� ----- ## ����� ----- # ������������� ��5����� ----- ###### Command & Third-party Third-party Control Controller Client ## ������� ###### Beaconのダウンロード (HTTP/HTTPS/DNS) クライアント認証 Stager (TLS) (ダウンローダ) CSユーザ Team Server タスクの実行 Beacon (HTTP/HTTPS/DNS) (RAT) External C2 Named Pipe (TCP) Third-party Command & Third-party Third-party Control Controller Client ----- ## 47���C�������C� ----- # �������� 8���� ###### ��������������8������ ----- ## 0������������ ----- ## ����OK���G� ###### struct struc_auth_req_pkt { int signature; // 0xbeef (big endian) char pass_size; struct_auth_payload payload; }; struct struct_auth_payload { char pass[8]; // flexible length (e.g., 8 bytes) char padding[248]; // padding up to 0x100 bytes (248 bytes in this case) }; ----- # ������ ���1� ###### �����������������1��� ----- ## 1��5�1��58�8P��B� ----- ## �������53� ----- ## ��.�.�1������ |shellcode|separator “gogo”|NetBIOS-encoded beacon|terminator “aa”| |---|---|---|---| ----- # ������ ��5�� ###### �����������������5��1� ----- ## ��./�6���������� ----- ## d�a��ie��e��� ###### struct struc_metadata_314 // version 3.14 metadata { int big_signature; // 0xbeef int big_size; char session_seed[16]; __int16 little_ANSI_codepage; __int16 little_OEM_codepage; char victim_info; /* flexible length, tab delimited ----- ###### "%d.%d\t%s\t%s\t%s\t%s", dwMajorVersion, dwMinorVersion, ipaddr, computer_name, user_name, process_name */ } ###### "%s\t%s\t%s", computer_name, user_name, process name */ ----- ## ���-1��M�E������9 ###### ���5� �� �HC��12����������� 6� �HC��12������������ ----- ## )00��)00�/ ������ ----- ## �������1�� ----- ## ����)1��4������N�Sed�� ----- ## ��,�)4�2�������Ta���ld�� ----- ## ������()��������4� #### • ���������������D��2�����������N�SD� �����4� ###### • ������N�B������ ����� ����� �� ���� ������ ����� ���� ----- ## �����)�(������������ ----- # ����������� ����� ###### �������������2�������� ----- ##,D�7�����������x� ##### • ����6�����E������x�g���a��e����� ###### • 7�����+.���C7��-�����2�� ##### • ����6�����E���������7�c�7�=��7�C7�f�f���x�g��� ###### • ���=7c[hl�����d������m�� • ���py������t��r��H��� ������p • ��NT�]���)��fS�����pm�iv�����Pm�� �� �� arch Beacon�������� (x86 or x64) x86 pipename ���������� block �������������� (���) 100 type ��� rdll ###### type rdll ----- ## ������������imf�l �� ----- # ������� ----- ----- ## ���c����� ----- ## C��lv������ ----- ## ���� ###### S/ lC2��� / S S �������� ----- # ��������� ��� ###### ������� ----- ## ���������eT��� ----- ## �������������� ----- ## ��������� ��� ��� ���P�H� ----- # �������������� ��������-��� ���83�� ###### ������� ----- ## -���������9��w1�4��0������H���o�w ----- ### �����������7�p0�������������gv�tp �� ----- # ��������� �� ----- # ����� ###### ����������� ----- ## �������P��4 ###### 12% [1%] 56% ###### 12% ###### [1%] ----- ## ������I� ###### 1% 4% 15% 15% 65% ###### 15% ###### 1% ----- ## ����������=9 ###### 49% 1% 1% ###### 8% ----- ## nvsnShtvm�w� ----- ## �4������-�����)������()���� ----- ## �00���00�/ �����35�8 �������� ###### 1��2���� �4�������� ��00���00�/ 1��2���� ��������� �)����� ��00�/ 1��2���� �4�������� �)����� ��00�/ ----- ### �00���00�/ �����478� ��������5� ----- ## ����������� ###### ... buf DOMAINS (C2 URLs) at 0x13a: ajax.microsoft.com,/gp/cerberus/gv ... buf C2_REQUEST (http-get.client) transform at 0x412: - HOSTHEADER at 0x418: 'Host: cdndev94 azureedge net' ----- ## ac���n�y����������� ----- ## ������������������ ----- # ������� �������3 ������ ###### ��������3�� ----- ## s��nrT�Ma�_�UGdr����r ----- ## ������ ----- ## ��.)����� ----- ## US�[�. 5MK���C�7�������(���������� � ----- ## ��M����b�]a[�Y Z����� ----- ## P��S�)�1�7A�9��:��������� ----- ## ���T��������E������:��������� ----- ### �SP����3��BL4E��������) :������������ ----- ## t�g��UOa ----- # ��� ----- ## ��� ----- ## ��S������( ----- ## ����[��(%�� ----- ## ��W[�� (�)� ----- ## �����V )�)� -----