远程控制(command&control,C2)---多次跳转代理,多阶段通道,多频带通信,多层加密,端口试探,远程连接工具

最新推荐文章于 2024-04-14 09:38:03 发布
最新推荐文章于 2024-04-14 09:38:03 发布
阅读量1.4k 收藏 6
点赞数
分类专栏: 远控-Command&Control
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AG9GgG/article/details/89923861
版权

多次跳转代理

为了掩盖恶意流量的来源,攻击者可能会将多个代理链接在一起。

通常,检测方能够识别进入网络前的最后一个代理,检测方不一定能够识别到最后一跳代理之前的其他代理。这项技术使得检测方需要通过追踪许多代理来进行恶意流量的溯源,导致恶意流量溯源变得更加困难。

多阶段通道

攻击者可以为不同通信条件或特定的功能创建多阶段远控通道,多阶段通道将混淆预案控通道,使得远控通道的检测更加困难。

远程访问工具将回调第一阶段的远控服务器以获取指令。第一阶段将自动收集基本的主机信息,更新工具和下载附件。此时可以上传第二个远程连接工具(Remote access tool, RAT),这样将主机重定向到第二阶段的远控服务器。第二阶段相较于第一阶段更为全面,允许攻击者通过逆向脚本和其他RAT与系统进行交互。

不同的阶段将被彼此独立出来,不共享任何基础设施。如果第一阶段的通信路径被发现并阻塞,加载器也具有第一阶段回调或备用信道等功能。

多频带通信

一些攻击者可能会将切分为多个部分,分别由不同协议进行。入站和出站的数据的命令与控制可以由不同协议控制,使得它可以绕过特定防火墙检测。拆分也可以是随机的,随机拆分标准可以避免在某一通信上的数据阈值警报。

多层加密

通常是在协议加密方案(如HTTPS,SMTPS)中隧道化一个自定义加密方案。

端口试探

端口试探是检测方和攻击者都会使用的隐藏开放端口的方法。为了启用端口,攻击者将发送一系列具有某些特定字节的数据包;通常,这些数据包包括与一些预定义的关闭的端口尝试连接,包含不常用的标志࿰

最低0.47元/天 解锁文章
AG9GgG
关注
专栏目录
git: ‘lfs‘ is not a git command. See ‘git --help‘的解决方案
weixin_43178406的博客
06-18 9万+
本文主要介绍了git: ‘lfs’ is not a git command. See 'git --help’的解决方案,希望能对学习git的同学们有所帮助。 文章目录 1. 问题描述 2. 解决方案
huggingface-cli: error: invalid choice: ‘download‘解决方案
weixin_43178406的博客
11-09 6万+
本文主要介绍了huggingface-cli: error: invalid choice: 'download’解决方案,希望能对学习使用huggingface-cli的同学们有所帮助。 文章目录 1. 问题描述 2. 解决方案
毒液:毒液-渗透测试仪的多跳代理
02-06
毒液-渗透测试仪的多跳代理 | 毒液是一种为渗透测试人员设计的使用Go开发的多级代理工具。 毒液可将多个上游进行连接,然后以例程为跳板,内置多级代理。 渗透测试人员可以使用毒液轻松地将网络流量代理多层内网,并轻松地管理代理服务器。 此工具仅限于安全研究和教学,用户承担因使用此工具而导致所有法律和相关责任!作者不承担任何法律和相关责任! 特性 可视化网络拓扑 多级socks5代理 多级端口转发 扩展范围(apache / mysql / ...) ssh隧道 共有壳 文件的上传和下载 前端间通信加密 支持多种平台(Linux / Windows / MacOS)和多种架构(x86 /
探索 Malleable C2 Profiles:一个强大的隐蔽通信工具
最新发布
gitblog_00006的博客
04-14 348
探索 Malleable C2 Profiles:一个强大的隐蔽通信工具 项目地址:https://gitcode.com/xx0hcd/Malleable-C2-Profiles Malleable C2 (Command and Control) Profiles 是一个开源项目,旨在帮助安全研究人员和渗透测试人员定制他们的 C2 服务器,以实现更难以检测的网络通信。通过该项目,你可以创建或修...
远程控制(command&control,C2)---代理,自定义协议,数据加密与混淆,域前端,域名生成算法,备用通道
AG9GgG的博客
05-06 1817
代理 代理帮助系统之间进行网络通信,作为网络通信之间的媒介。现有许多代理都能够支持重定向,包括HTRAN,ZXProxy和ZXProtMap。 代理的定义还可以拓展为P2P网络之间的信任关系,定期通信主机群或系统中的可信连接。 网络内可能有一个或多个互相信任的组织。攻击者可以利用这些关系来管理远程控制通信,减少同时出站的连接数,在连接失败时能够弹性处理,避免在受控主机之间直接通信而被怀疑。 自定义...
远程控制(command&control,C2)---Fast flux
AG9GgG的博客
05-23 1572
Single Flux 顾名思义,single flux是只有一层变化的fast flux,一个域名拥有一个不断变化的IP地址列表,列表可能包含成百上千条IP地址。为了实现频繁的IP地址变化,控制者控制最底层域名服务器,这个服务器返回频繁变化的C2服务器IP地址,如果使用别人提供的域名服务器,频繁的更改IP表容易被管理者检测出来,导致僵尸网络暴露。 Double Flux 较single flu...
远程控制(command&control,C2)---DNS通道
AG9GgG的博客
05-08 2207
DNS Tunneling DNS Tunneling是隐蔽通道的一种,通过将其他协议封装在DNS协议中传输。因为在互联网中DNS是一个必不可少的服务,所以大部分防火墙和入侵检测设备很少会对DNS流量进行过滤,由此DNS作为隐蔽信道有天生优势。 原理 DNS Tunneling可以分为直连和中继两种。 直连:client直接和指定的目标DNS Server(Authoritative NS S...
Stowaway::ghost:Stowaway-用于渗透测试者的多跳代理工具
02-06
偷渡者 Stowaway是一个利用go语言编写,专为渗透测试工作者制作的多级代理工具 用户可使用此程序将外部流量通过多个代理至内网,突破内网访问限制,构造树状节点网络,并轻松实现管理功能 PS:谢谢大家的star,同时欢迎大家使用后提出问题 :face_blowing_a_kiss: 。 PPS:请在使用前详细阅读使用方法及文末的注意事项! 此工具仅限于安全研究和教学,用户承担因使用此工具而导致所有法律和相关责任!作者不承担任何法律和相关责任! 特性 一目了然的议员树管理 丰富的摘要信息展示及长久保存 官员间正向/反向连接 官员间可通过socks5代理进行反向连接 ssh隧道连接 多平台适应 多级袜子5流量代理转发(支持UDP /
远程控制(command&control,C2)---远程文件拷贝,标准应用层协议,标准加密协议,标准非应用层协议,网络服务
AG9GgG的博客
05-07 1011
远程文件拷贝 文件可以从一个系统拷贝到另一个攻击者工具或者其他文件,可以将工具从一个攻击者控制的外部系统通过远控信道或其他具有此功能的协议,如FTP,拷贝到受害者网络内,也可以将文件通过如scp, rsync和sftp等本地工具在Mac和Linux等不同操作系统之间进行拷贝。 攻击者还可以在受害者之间进行横向文件拷贝,使用固有的文件共享协议进行远程文件拷贝,例如通过SMB与连接的网络共享或使用Wi...
c语言远控,C&C远控工具:WebSocket C2
weixin_39714849的博客
05-20 624
这篇文章,我们将学习另一款 C&C 远控工具 WebSocket C2,也被称为 WSC2。介绍WSC2 主要是一款后渗透测试工具。WSC2 会使用 WebSocket 和一个浏览器进程。它的作用是在目标靶机上运行的客户端和实际充当 C2 服务器的控制器之间作为 C2 通信通道。这款工具使用 Python 开发的。本文演示环境·攻击机:kali Linux·靶机:Windows 10安装首...
动态代理模式实现界面跳转
10-14
动态代理模式实现界面跳转传值,里面包含了静态代理的使用
C2_Server:C2服务器通过反向外壳连接到受害计算机
03-13
C2服务器 那么,C2服务器到底有什么用,它将做什么呢? 好吧,命令与控制服务器,也称为C2或C&C服务器。 实际上,它是攻击者用来控制目标计算机(或受害者)的中央服务器或计算机,或只是控制中心。 攻击者只需要发送反向shell脚本(exploit)并在目标计算机上(以某种方式)执行它即可。 反向外壳程序基本上是注入到trgt机器中的代码,以便目标机器可以单独将发起连接请求发送回攻击者机器,在该机器上C2服务器正在打开/侦听端口上运行/侦听。 同样,在这里,我们正在做同样的事情。 一旦将C2服务器连接到目标计算机,攻击者就可以根据C2服务器的效率来访问受害计算机上的任何内容。 当前,此C2服务器具有以下功能: 要测试此C2服务器: 克隆存储库: $ git clone https://github.com/reveng007/C2_Server.git 在攻击者和受害者计算机上安装所
subprocess.CalledProcessError: Command ‘[‘which‘, ‘x86_64-conda_cos6-linux-gnu-c++‘]‘解决方案
热门推荐
weixin_43178406的博客
06-08 8万+
本文主要介绍了subprocess.CalledProcessError: Command '[‘which’, ‘x86_64-conda_cos6-linux-gnu-c++’]'解决方案,希望能对学习python的同学们有所帮助。 文章目录 1. 问题描述 2. 解决方案
代理实现界面跳转传值
tubiebutu的专栏
02-11 769
1.委托需要做的工作有: 1.1定义协议与方法1.2声明委托变量 1.3设置代理 1.4通过委托变量调用委托方法 2.代理需要做的工作有: 2.1遵循协议 2.2实现委托方法 下面讲解一下使用委托实现页面传值的解决方法: 加入我们有两个ViewController 分别为:ViewController和 ReceiveViewController在viewController中 @protoco
【权限维持】黄金白银票据&隐藏账户&C2远控&RustDesk&GotoHTTP
今天是几号的博客
04-10 1008
第⼀次拿到域管权限之后,需要将krbtgt NTLM hash进⾏保存,当第⼆次再来进⾏域渗透攻击时,我们就可使⽤krbtgt的NTLM hash制作⻩⾦票据,从⽽再次获得域管权限。工具原理:添加用户时在用户名上添加$符号,将该用户的用户组设置为空(单主机环境为空,域环境为administrator组),导致无法删除(在注册表中也可以进行隐藏)2、域的SID值:S-1-5-21-1218902331-2157346161-1782232778。sid:域环境下的SID,除去最后-的部分剩下的内容。
nginx前端https自动跳转+代理后端
cron_zzx的博客
04-10 949
server { #listen 8080; listen 443; server_name web.zzx.com; #外部访问的域名 access_log /zywa/nginx/logs/app_access.log; error_log /zywa/nginx/logs/app_error.log; ...
RedWarden:Cobalt Strike C2反向代理
weixin_43977912的博客
07-04 597
关于RedWarden RedWarden是一款功能强大的Cobalt Strike C2反向代理,可以帮助广大研究人员通过数据包审查和CobaltStrike的Malleable配置关联分析实现针对蓝队、反病毒产品、终端安全响应系统(EDR)以及扫描器的抵御和对抗。 红队研究人员一直都在研究如何对抗事件响应工具的误导,尤其是涉及到C2重定向网络的时候。那么RedWarden将这些想法整合到了一个轻量级实用程序中,并能够模仿Apache2作为简单HTTP(s)反向代理。 RedWarden运行机制 工具.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值