远程控制(command&control,C2)---远程文件拷贝,标准应用层协议,标准加密协议,标准非应用层协议,网络服务

最新推荐文章于 2024-08-15 08:55:01 发布
最新推荐文章于 2024-08-15 08:55:01 发布
阅读量1k 收藏 1
点赞数
分类专栏: 远控-Command&Control
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AG9GgG/article/details/89925950
版权
本文详细介绍了远程控制(command&control,C2)技术,包括远程文件拷贝,如FTP、scp等;标准应用层协议如HTTP、HTTPS;标准加密协议的应用;标准非应用层协议如ICMP、UDP的利用;以及攻击者如何利用网络服务,如Web服务和社交媒体,进行隐蔽通信。这些技术使得攻击者能隐藏恶意流量,进行安全的数据传输和系统控制。
摘要由CSDN通过智能技术生成

远程文件拷贝

文件可以从一个系统拷贝到另一个攻击者工具或者其他文件,可以将工具从一个攻击者控制的外部系统通过远控信道或其他具有此功能的协议,如FTP,拷贝到受害者网络内,也可以将文件通过如scp, rsync和sftp等本地工具在Mac和Linux等不同操作系统之间进行拷贝。

攻击者还可以在受害者之间进行横向文件拷贝,使用固有的文件共享协议进行远程文件拷贝,例如通过SMB与连接的网络共享或使用Windows管理员共享或经过身份验证的远程桌面连接进行文件共享。

标准应用层协议

攻击者会使用常用的标准应用层协议进行通信,如HTTP, HTTPS, SMTP, DNS,以此来将恶意流量混入现有的正常流量中。向远程服务器发送的命令和这些命令执行的结果将使用这些协议在宿主机与控制器之间进行传输。

对于网络内部的连接,如代理或枢纽节点与其他节点之间,通常使用的协议是RPC, SSH, RDP。

标准加密协议

攻击者可以直接使用已知的加密算法来隐藏远控流量,而不需要依赖于任何通信协议提供的固有保护。尽管使用了安全算法,但如果在恶意软件样本或配置文件中使用了秘密密钥进行与/或运算,则这些算法在逆向工程中会受到一定影响。

标准非应用层协议

在宿主机和远控服务器之间或不同的宿主机之间的通信使用标准非应用层协议,可能使用的协议非常多,具体事例包括网络层协议的使用,如互联网控制消息协议(the Internet Control Message Protocol, ICMP),传输层协议,如用户数据报协议(the User Datagram Protocol,UDP),会话层协议,如套接字安

最低0.47元/天 解锁文章
AG9GgG
关注
专栏目录
Web-拾贝
oscar999的专栏
03-10 1万+
JavaScript MVC框架PK:Angular、Backbone、CanJS与Emberhttp://www.csdn.net/article/2013-04-25/2815032-A-Comparison-of-Angular-Backbone-CanJS-and-Ember一个好的js method 方法查询的网站, 有browser兼容的介绍http://help.dottoro.co...
红队系列-shellcode AV bypass Evasion免杀合集
aming小老弟
11-13 1525
壳就是软件所增加的保护,并不会破坏里面的程序结构,当我们运行这个加壳的程序时,系统首先会运行程序里的壳,然后由壳将加密的程序逐步还原到内存中,最后运行程序。加壳虽然对于特征码绕过有常好的效果,加密壳基本上可以把特征码全部掩盖,但是缺点也常的明显,因为壳自己也有特征,主流的壳如VMP, Themida等等。客户端上传特征,在云端无法检测到,则上传文件文件通过杀软系统进行评判,得出总评分,对于无结果的,进行鉴定系统评分,总共得出结果返回给用户,并入云端库。比如可以远程读取png中的shellcode。
远程控制(command&control,C2)---代理,自定义协议,数据加密与混淆,域前端,域名生成算法,备用通道
AG9GgG的博客
05-06 1854
代理 代理帮助系统之间进行网络通信,作为网络通信之间的媒介。现有许多代理都能够支持重定向,包括HTRAN,ZXProxy和ZXProtMap。 代理的定义还可以拓展为P2P网络之间的信任关系,定期通信主机群或系统中的可信连接。 网络内可能有一个或多个互相信任的组织。攻击者可以利用这些关系来管理远程控制通信,减少同时出站的连接数,在连接失败时能够弹性处理,避免在受控主机之间直接通信而被怀疑。 自定义...
1.3远程控制文件传输
JQ_18的博客
01-13 492
WinSCP传输文件兼putty远程控制
【学习笔记】A2X通信的协议(十一)- 通过PC5的直接C2通信
最新发布
u011376987的博客
08-15 409
对于不在覆盖范围内或无法进行3GPP网络连接的无人机,可以通过条款5.2.6中规定的通过PC5的直接C2通信的配置参数来授权直接C2通信,这些参数通过应用层预配置或如条款5.2.2所述的A2X1提供。注1:在5GS中,直接C2通信的授权请求包含在3GPP TS 24.501 [7]中定义的Service-level-AA容器IE中的C2授权有效载荷中。支持直接C2通信的无人机为了向无人机服务系统(USS)请求直接C2通信的C2授权,向USS提供直接C2通信的授权请求。
远程控制(command&control,C2)---Fast flux
AG9GgG的博客
05-23 1589
Single Flux 顾名思义,single flux是只有一层变化的fast flux,一个域名拥有一个不断变化的IP地址列表,列表可能包含成百上千条IP地址。为了实现频繁的IP地址变化,控制者控制最底层域名服务器,这个服务器返回频繁变化的C2服务器IP地址,如果使用别人提供的域名服务器,频繁的更改IP表容易被管理者检测出来,导致僵尸网络暴露。 Double Flux 较single flu...
c语言远控,C&C远控工具:WebSocket C2
weixin_39714849的博客
05-20 636
这篇文章,我们将学习另一款 C&C 远控工具 WebSocket C2,也被称为 WSC2。介绍WSC2 主要是一款后渗透测试工具。WSC2 会使用 WebSocket 和一个浏览器进程。它的作用是在目标靶机上运行的客户端和实际充当 C2 服务器的控制器之间作为 C2 通信通道。这款工具使用 Python 开发的。本文演示环境·攻击机:kali Linux·靶机:Windows 10安装首...
免杀对抗-C2远控篇&PowerShell&C#&对抗AV-EDR&停用AMSI接口&阻断ETW跟踪&调用
qq_45087791的博客
03-13 986
assembly .我们的工具包被曝光。AMSI-Windowsxx版本后提供的自带的反病毒接口,对于以下操作会进行检查(其中国外杀毒,各种EDR集成接口调用),如果渗透中要用到这些操作功能就会受到检测,所以我们要尝试阻断绕过AMSI,其中检测的函数封装在amsi.dll->AmsiScanBuffer故amsi.dll中AmsiScanBuffer()函数尝试运行时让其直接返回0失效。如今越来越多的防病毒厂商正在接入AMSI防病毒接口,因此在当下,如何去规避AMSI,成为红队渗透测试者不可避免的话题。
开发知识点-C++之win32与NT内核
aming小老弟
03-07 576
VC++远控编程班www.zygx8.com 61201860605658096586599275746120931930648561639269 123。红队专题-从零开始VC++C/S远程控制软件RAT-MFC-VC驿站VIP之C++远控班bbs.176ku.com免费看。IShellExtInit接口初始化shell扩展。老狼GHOST内核编程全套。
专业技术咖-常见的DOS命令大全
weixin_42886450的博客
01-14 307
常用的内部命令有MD、CD、RD、DIR、PATH、COPY、TYPE、EDIT、REN、DEL、CLS、VER、DATE、TIME、PROMPT。 常用的外部命令有DELTREE、FORMAT、DISKCOPY、LABEL、VOL、SYS、XCOPY、FC、ATTRIB、MEM、TREE。 切换到其他盘符D: 1.MD——建立子目录 功能:创建新的子目录 类型:内部命令ü 格式:MD[盘符:]...
远程文件拷贝
weixin_34380781的博客
12-18 76
命令一:scp scp -r root@101.xxx.xxx.xxx:/fantj/projects . 以root身份复制101.xxx.xxx.xxx服务器下/fantj/projects下的所有内容 命令二:rsync (remote synchronezition) 和命令一的不同点: 增量复制,...
c2接口协议文档
11-27
c8051f系列单片机c2接口编程协议
向日葵远程控制传送文件版本
03-19
向日葵远程控制是一款面向企业和专业人员的远程PC管理和控制的服务软件。您在任何可连入互联网的地点,都可以轻松访问和控制安装了向日葵远程控制客户端的远程主机,整个过程完全可以通过浏览器进行,无需再安装软件。
FTP协议的命令command与返回码
07-17
FTP命令: 灰色的命令一般很少使用,所以往往在具体实现中不被支持,所以可能返回的信息是“500 'xx': command not understood”。 命令 描述 ABOR 中断数据连接程序 ACCT <account> 系统特权帐号 ALLO <bytes> 为服务器上的文件存储器分配字节 APPE <filename> 添加文件到服务器同名文件 CDUP <dir path> 改变服务器上的父目录 CWD <dir path> 改变服务器上的工作目录 DELE <filename> 删除服务器上的指定文件 HELP <command> 返回指定命令信息 LIST <name> 如果是文件名列出文件信息,如果是目录则列出文件列表 ....... ..... .... ... .. .
远程控制(command&control, C2)---常用端口,常用端口
AG9GgG的博客
05-06 3236
攻击者经常使用这些端口,将攻击混迹于正常通信行为中,来绕过防火墙或检测软件: TCP HTTP: 80 TCP HTTPS:443 TCP SMTP:25 TCP/UDP DNS:53 内部网络通信常用协议: TCP/UDP RPC:135 TCP/UDP SSH:22 TCP/UDP RDP:3389 ...
远程控制(command&control,C2)---多次跳转代理,多阶段通道,多频带通信,多层加密,端口试探,远程连接工具
AG9GgG的博客
05-07 1440
多次跳转代理 为了掩盖恶意流量的来源,攻击者可能会将多个代理链接在一起。 通常,检测方能够识别进入网络前的最后一个代理,检测方不一定能够识别到最后一跳代理之前的其他代理。这项技术使得检测方需要通过追踪许多代理来进行恶意流量的溯源,导致恶意流量溯源变得更加困难。 多阶段通道 攻击者可以为不同通信条件或特定的功能创建多阶段远控通道,多阶段通道将混淆预案控通道,使得远控通道的检测更加困难。 远程访问工具...
远程控制(command&control,C2)---DNS通道
AG9GgG的博客
05-08 2237
DNS Tunneling DNS Tunneling是隐蔽通道的一种,通过将其他协议封装在DNS协议中传输。因为在互联网中DNS是一个必不可少的服务,所以大部分防火墙和入侵检测设备很少会对DNS流量进行过滤,由此DNS作为隐蔽信道有天生优势。 原理 DNS Tunneling可以分为直连和中继两种。 直连:client直接和指定的目标DNS Server(Authoritative NS S...
C2远控之初探shellcode
qq_29948489的博客
02-20 1522
杀软一般通过一下几点来检测恶意软件和行为:1、静态查杀:最基本的查杀方式,主要通过对文件的特征码进行扫描,匹配已知的病毒特征库。如果发现文件特征码与病毒特征库中的某个病毒特征码相匹配,就判断该文件为病毒;部分杀软会在静态查杀时将程序放入沙箱中运行几秒的方式以检测程序是否是恶意程序。2、动态(主动)查杀:通过在程序运行时扫描程序内存是否匹配病毒特征的方式主动发现恶意程序。在EDR中还会挂钩敏感的Windows API,在程序调用到被挂钩的API时检查函数参数和调用栈以检测恶意程序。
ISO/IEC 13818-6: MPEG-2 Digital Storage Media Command & Control
"ISO-IEC 13818-6-DSM_CC是国际标准化组织(ISO)和国际电工委员会(IEC)联合技术委员会JTC1下的SC29/WG11(负责音频、视频编码)制定的一项标准,专门针对数字存储媒体命令与控制(Digital Storage Media Command ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值