远程控制(command&control,C2)---代理,自定义协议,数据加密与混淆,域前端,域名生成算法,备用通道

最新推荐文章于 2024-06-05 15:16:35 发布
最新推荐文章于 2024-06-05 15:16:35 发布
阅读量1.7k 收藏 2
点赞数 1
分类专栏: 远控-Command&Control
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AG9GgG/article/details/89879998
版权
本文探讨了远程控制技术,包括代理的使用,自定义远控通信和加密协议,数据混淆策略,域前端技术,域名生成算法(DGA)以及备用通信通道。代理作为网络通信媒介,减少连接暴露。自定义协议和加密增强了隐蔽性。数据混淆通过垃圾数据和非标准编码隐藏流量。域前端利用CDN混淆HTTP流量。DGA动态生成大量域名以逃避检测。备用通道确保在主要通道失效时保持连接。
摘要由CSDN通过智能技术生成

代理

代理帮助系统之间进行网络通信,作为网络通信之间的媒介。现有许多代理都能够支持重定向,包括HTRAN,ZXProxy和ZXProtMap。

代理的定义还可以拓展为P2P网络之间的信任关系,定期通信主机群或系统中的可信连接。

网络内可能有一个或多个互相信任的组织。攻击者可以利用这些关系来管理远程控制通信,减少同时出站的连接数,在连接失败时能够弹性处理,避免在受控主机之间直接通信而被怀疑。

自定义远控通信协议

使用自定义的通信协议而不是现有的标准应用层协议中封装的命令/协议。自定义协议在著名的TCP/IP或其他网络堆栈标准协议的基础上进行模仿构建。

自定义加密协议

攻击者可以使用自定义的加密协议或算法来隐藏远控通信流量。例如简单地使用固定密钥对铭文进行异或运算,这将产生一个非常弱的密文。

自定义加密方案的复杂度各有不同。对恶意样本进行逆向分析可能能够发现加密密钥和算法。一些攻击者就尝试自己实现一个众所周知加密算法的自有版本,而不是基于现有的库函数实现加密算法。

数据加密

远控数据使用基础数据加密系统进行加密。数据加密算法遵循现有的规范,包括使用ASCII, Unicode, Base64, MIME, UTF-8或其他二进制转文本,字符加密算法。一些数据加密的算法也可能导致数据压缩,例如gzip。

数据混淆

远控流量不一定被加密但一定是被隐藏的,攻击者试图使通信内容难以被发现并且通信行为与命令看起来不那么可疑、显眼。这包括许多方法,包括向协议流量中加入垃圾数据,使用隐写术,将C2通信流量与合法流量混合,使用非标准数据编码系统(例如,针对H

最低0.47元/天 解锁文章
AG9GgG
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
远程控制(command&control,C2)---多次跳转代理,多阶段通道,多频带通信,多层加密,端口试探,远程连接工具
AG9GgG的博客
05-07 1404
多次跳转代理 为了掩盖恶意流量的来源,攻击者可能会将多个代理链接在一起。 通常,检测方能够识别进入网络前的最后一个代理,检测方不一定能够识别到最后一跳代理之前的其他代理。这项技术使得检测方需要通过追踪许多代理来进行恶意流量的溯源,导致恶意流量溯源变得更加困难。 多阶段通道 攻击者可以为不同通信条件或特定的功能创建多阶段远控通道,多阶段通道混淆预案控通道,使得远控通道的检测更加困难。 远程访问工具...
远程控制(command&control,C2)---远程文件拷贝,标准应用层协议,标准加密协议,标准非应用层协议,网络服务
AG9GgG的博客
05-07 979
远程文件拷贝 文件可以从一个系统拷贝到另一个攻击者工具或者其他文件,可以将工具从一个攻击者控制的外部系统通过远控信道或其他具有此功能的协议,如FTP,拷贝到受害者网络内,也可以将文件通过如scp, rsync和sftp等本地工具在Mac和Linux等不同操作系统之间进行拷贝。 攻击者还可以在受害者之间进行横向文件拷贝,使用固有的文件共享协议进行远程文件拷贝,例如通过SMB与连接的网络共享或使用Wi...
实战shell免杀&C2远控&工具魔改(免杀日记 - 上篇)
最新发布
guanjian_ci的博客
06-05 1684
1、上面实验内容并不多,但是工具的使用、环境的安装、代码的排错够新手玩上几天了。2、绕过杀毒软件的本质就是防止被杀毒库匹配,代码、工具指纹等等!3、一个好的免杀,一定具备了多方面的性能:防杀软、绕过流量平台、防沙箱、防逆向调试后依然能够正常运行上线!4、此文章分上 、 中 、下,未完待续... ...
FTP协议的命令command与返回码
07-17
FTP命令: 灰色的命令一般很少使用,所以往往在具体实现中不被支持,所以可能返回的信息是“500 'xx': command not understood”。 命令 描述 ABOR 中断数据连接程序 ACCT <account> 系统特权帐号 ALLO <bytes> 为服务器上的文件存储器分配字节 APPE <filename> 添加文件到服务器同名文件 CDUP <dir path> 改变服务器上的父目录 CWD <dir path> 改变服务器上的工作目录 DELE <filename> 删除服务器上的指定文件 HELP <command> 返回指定命令信息 LIST <name> 如果是文件名列出文件信息,如果是目录则列出文件列表 ....... ..... .... ... .. .
ns2协议代码中的command理解
dawuafang
05-16 309
在之前的博文《ns2.35中嵌入自写协议的方法》中,我们写了一个简单的协议,在《从hdr_ip::access()谈对ns2数据包的理解》中,我们解释了数据包的代码编写,本篇文章我们来说明一个问题,就是协议.cc文件中command函数的用法。 一、NS2实现一个协议的步骤 一般在NS2下实现一个协议,主要是编写.h 和 .cc 两个文件,但是当问题比较复杂后,可能需要编写很多个文件,例如协议...
smbus协议command_SMBus接口信号/应用框图/帧格式
weixin_39831170的博客
12-21 437
SMBus概述SMBus(SystemManagementBus)是系统管理总线的简称,该总线由SBS-IF提出并维护(SBS-IF,SmartBatterySystemImplementersForum,智能电池系统实现者论坛),该论坛发起者为Intel。SMBus总线主要应用于智能电池与MCU之间的通信,PC系统中与系统传感器之间的低速通信等。SMBus接口信号SMBus为I2C协议的子集(常...
File Integrity Command & Control-开源
05-03
文件完整性命令和控制-管理和监视多个系统上的Tripwire安装。
HarmonyOS(commandline-tools-windows-2.0.0.2.zip)
11-08
4. **版本控制工具**:如Git,用于管理项目源代码的不同版本,跟踪更改历史,并与团队成员协作。 5. **打包工具**:这些工具负责将应用或系统组件打包成可分发的格式,如APK或HAP(HarmonyOS App Package)。 6. *...
Control-M 作业配置手册
04-30
Control-M 是一款强大的工作流程自动化解决方案,用于管理企业的批处理作业。它允许用户定义、调度、监控和控制各种IT任务,确保业务流程的顺畅运行。本手册将详细讲解如何配置和定义Control-M中的作业,帮助用户...
mythic-crate:用于Mythic C2框架开发的Ubuntu 18.04包装盒
02-06
在后渗透阶段,C2Command and Control)是攻击者用来维持对受感染系统的控制的关键部分。Mythic C2框架提供了一个灵活的平台,允许开发人员创建自定义代理,如Apfell和VagrantShell,这些代理能够在目标系统上...
godoh::hole:godoh-HTTP-over-HTTPS C2
05-26
要从源代码构建godoh ,请执行以下步骤: 确保您拥有Go 1.13+ 使用git clone https://github.com/sensepost/goDoH.git克隆此存储库运行生成make key以生成用于通信的唯一加密密钥使用以下选项之一构建项目: go ...
第一部分:HCI协议(八)具体的HCI command和event(9、SYNCHRONOUS CONNECTIONS 二)
sui1005316018的博客
07-20 1334
(6)Read Voice Setting Command 这个命令用来获取Voice_Setting的值 返回参数说明: Status(1 Octet):0x00表示success;0x01-0xFF表示失败 Voice_Setting(2 Octet):语音连接的相关配置,用来配置Input Coding, Air coding format, input data format, Input sample size, and linear PCM parameter 举例说明:(暂时没有
远程控制(command&control,C2)---Fast flux
AG9GgG的博客
05-23 1545
Single Flux 顾名思义,single flux是只有一层变化的fast flux,一个域名拥有一个不断变化的IP地址列表,列表可能包含成百上千条IP地址。为了实现频繁的IP地址变化,控制者控制最底层域名服务器,这个服务器返回频繁变化的C2服务器IP地址,如果使用别人提供的域名服务器,频繁的更改IP表容易被管理者检测出来,导致僵尸网络暴露。 Double Flux 较single flu...
利用Ladon实现C2免杀所有杀软
K8哥哥
07-11 640
前言 写了几篇无回显命令执行漏洞Ladon回显方法,接下来我们它升级,既然我们可以通过漏洞执行无回显命令都可以得到回显,那么我们自己写的程序不是更轻而易举吗?所谓远控不过就是通过各种协议传输攻击者的操作指令与结果而已。早期都是用TCP协议实现,之后FTP、HTTP(什么网盘、邮箱、博客等都是并非什么新方式只是换个网址或API而已),大家常用的CS也是HTTP协议,本文用Ladon来实现个简单的C2。 启动WEB Ladon web 800 参数 /ip.txt or ip.jpg Get T
C8051F310 模拟C2协议浅析与实现
2z1c
04-18 2280
C2 C2协议标准 Each C2 frame is initiated with a START condition Each C2 frame terminates with a STOP condition All C2 devices include an 8-bit Device ID register and an 8-bit Revision ID register 寄存器 AD...
c语言远控,C&C远控工具:WebSocket C2
weixin_39714849的博客
05-20 595
这篇文章,我们将学习另一款 C&C 远控工具 WebSocket C2,也被称为 WSC2。介绍WSC2 主要是一款后渗透测试工具。WSC2 会使用 WebSocket 和一个浏览器进程。它的作用是在目标靶机上运行的客户端和实际充当 C2 服务器的控制器之间作为 C2 通信通道。这款工具使用 Python 开发的。本文演示环境·攻击机:kali Linux·靶机:Windows 10安装首...
C2远控之初探shellcode
qq_29948489的博客
02-20 1237
杀软一般通过一下几点来检测恶意软件和行为:1、静态查杀:最基本的查杀方式,主要通过对文件的特征码进行扫描,匹配已知的病毒特征库。如果发现文件特征码与病毒特征库中的某个病毒特征码相匹配,就判断该文件为病毒;部分杀软会在静态查杀时将程序放入沙箱中运行几秒的方式以检测程序是否是恶意程序。2、动态(主动)查杀:通过在程序运行时扫描程序内存是否匹配病毒特征的方式主动发现恶意程序。在EDR中还会挂钩敏感的Windows API,在程序调用到被挂钩的API时检查函数参数和调用栈以检测恶意程序。
【权限维持】黄金白银票据&隐藏账户&C2远控&RustDesk&GotoHTTP
今天是几号的博客
04-10 892
第⼀次拿到管权限之后,需要将krbtgt NTLM hash进⾏保存,当第⼆次再来进⾏渗透攻击时,我们就可使⽤krbtgt的NTLM hash制作⻩⾦票据,从⽽再次获得管权限。工具原理:添加用户时在用户名上添加$符号,将该用户的用户组设置为空(单主机环境为空,环境为administrator组),导致无法删除(在注册表中也可以进行隐藏)2、的SID值:S-1-5-21-1218902331-2157346161-1782232778。sid:环境下的SID,除去最后-的部分剩下的内容。
ISO/IEC 13818-6: MPEG-2 Digital Storage Media Command & Control
"ISO-IEC 13818-6-DSM_CC是国际标准化组织(ISO)和国际电工委员会(IEC)联合技术委员会JTC1下的SC29/WG11(负责音频、视频编码)制定的一项标准,专门针对数字存储媒体命令与控制(Digital Storage Media Command ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值