远程控制(command&control,C2)---DNS通道

最新推荐文章于 2023-12-30 15:19:07 发布
最新推荐文章于 2023-12-30 15:19:07 发布
阅读量2.1k 收藏
点赞数
分类专栏: 远控-Command&Control
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AG9GgG/article/details/89952153
版权

DNS Tunneling

DNS Tunneling是隐蔽通道的一种,通过将其他协议封装在DNS协议中传输。因为在互联网中DNS是一个必不可少的服务,所以大部分防火墙和入侵检测设备很少会对DNS流量进行过滤,由此DNS作为隐蔽信道有天生优势。

原理

DNS Tunneling可以分为直连和中继两种。

  • 直连:client直接和指定的目标DNS Server(Authoritative NS Server)连接,通过将数据编码封装在DNS协议中进行通信。这种方式速度快,但是隐蔽性较弱,容易被探测到,且存在的限制比较多,很多场景不允许自己指定DNS Server。

  • 中继:通过迭代DNS查询可以实现中继通道,更为隐蔽,但同时因为数据包到达目标DNS Server前需要经过多个节点,所以速度上较慢,但是可以突破防火墙等的限制。

参考资料

https://www.freebuf.com/sectool/112076.html

AG9GgG
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
远程控制(command&control,C2)---多次跳转代理,多阶段通道,多频带通信,多层加密,端口试探,远程连接工具
AG9GgG的博客
05-07 1382
多次跳转代理 为了掩盖恶意流量的来源,攻击者可能会将多个代理链接在一起。 通常,检测方能够识别进入网络前的最后一个代理,检测方不一定能够识别到最后一跳代理之前的其他代理。这项技术使得检测方需要通过追踪许多代理来进行恶意流量的溯源,导致恶意流量溯源变得更加困难。 多阶段通道 攻击者可以为不同通信条件或特定的功能创建多阶段远控通道,多阶段通道将混淆预案控通道,使得远控通道的检测更加困难。 远程访问工具...
独辟蹊径,Python打造新型基于图像隐写术的C2通道
Python学习Q群696455390
12-28 499
0x00 前言 在11月下旬,我决定启动一个既有趣又有实际意义的项目,尝试提出了一种具有独特性的C2通道概念证明,其中涉及到隐写术和某种可信域名,而不再使用定制的基础结构。在我的研究过程中,广泛参考了较大时间跨度的许多红队资料,并从中收获了一些高级的概念。目前我们知道,网络中有一些代理工具或植入工具需要执行任务,并且需要将数据以隐蔽的方式发送回服务器。而这正是我们本次研究的重点。 我首先研...
On Botnets that use DNS for Command and Control.pdf
07-11
该论文描述了dns是如何被botnet利用的
Reverse_DNS_Shell:使用DNS作为c2通道的python反向shell
05-03
DNShell v1.7 描述: 使用DNS作为C2通道的Python反向Shell。 要求: dnslib DNS服务器 隐密 Gotchyas: 别忘了更改您的主机 别忘了更改您的SECRET密钥 首先运行服务器 摩尔信息:
OilRig又瞄准了中东电信组织,并在其代码库中增加了带有隐写术的新型C2通道(上)
systemino的博客
08-26 529
语:OilRig,又名Helix Kitten或NewsBeef ,是一个主要活动于中东地区的APT组织。 OilRig,又名Helix Kitten或NewsBeef ,是一个主要活动于中东地区的APT组织。据信该组织成立于2015年,并得到了伊朗政府的支持。该组织曾建立了一个虚假的VPN 门户网站,用于并传播具有合法数字签名的恶意软件,其攻击目标涵盖了沙特阿拉伯、以色列、阿联酋、黎巴嫩、科威特、卡塔尔、美国和土耳其等多个国家的政府机构、金融机构以及科技公司。 Palo Alto Networks
File Integrity Command & Control-开源
05-03
文件完整性命令和控制-管理和监视多个系统上的Tripwire安装。
docker&&nvidia-docker安装包
07-08
部署docker&&nvidia-docker的离线包; docker部署的步骤: 上传到服务器上,解压安装包,解压完成进入nvidia-docker目录,在进入里面的docker目录,cd nvidia-docker/docker/ 直接执行里面的install.sh脚本即可;...
Control-M 作业配置手册
04-30
Control-M 是一款强大的工作流程自动化解决方案,用于管理企业的批处理作业。它允许用户定义、调度、监控和控制各种IT任务,确保业务流程的顺畅运行。本手册将详细讲解如何配置和定义Control-M中的作业,帮助用户...
HarmonyOS(commandline-tools-mac-2.0.0.2.zip)
11-08
4. **版本控制工具**:可能包含`git`,用于版本控制源代码,方便团队协作和版本管理。 5. **调试工具**:如`adb`(Android Debug Bridge),尽管HarmonyOS是独立的操作系统,但其早期版本可能借鉴了部分Android工具...
certbot-dns-aliyun:certbot dns插件,可使用阿里云获取证书
05-04
适用于Certbot的Aliyun DNS Authenticator插件certbot dns插件,用于使用阿里云获取证书。获取阿里云RAM AccessKey 并确保您的RAM帐户具有AliyunDNSFullAccess权限。安装pip install certbot-dns-aliyun 对于快照: ...
GhOst_RAT_beta_v3.6_VIP远控源码带验证.rar
05-06
GhOst_RAT_beta_v3.6_VIP远控源码带验证.rar
OilRig又瞄准了中东电信组织,并在其代码库中增加了带有隐写术的新型C2通道(下)
systemino的博客
08-26 305
接上文 使用隐写术隐藏数据 有效载荷将从电子邮件附件中的C2接收数据,或将数据泄漏到C2,特别是在使用隐写术将图像隐藏在图像中的BMP图像中。有效载荷从BMP图像提取数据以从C2接收数据的方法与其隐藏数据以进行渗漏的方法相同,尽管研究人员没有观察到使用此方法发送命令的C2,但研究人员能够分析有效载荷以确定其如何发送消息并从系统中窃取数据。 要使用此C2通道发送数据,有效载荷将读取以下默认安装的Windows上可用的图像: C:\ProgramData\Microsoft\UserAccoun...
利用dnscmd在DNS服务器上实现远程加载Dll
Shanfenglan's blog
11-13 9万+
CATALOG1.前言2.实现过程3.对抗方式4.参考文章 1.前言 这是一种渗透技巧,并不能算是漏洞。 优势:不用执行psexec等远控程序,利用方式偏冷门。 劣势:对权限要求比较苛刻(要能够修改sysvol下script文件夹的权限) 2.实现过程 3.对抗方式 4.参考文章 域渗透——利用dnscmd在DNS服务器上实现远程加载Dll ...
远程控制(command&control,C2)---远程文件拷贝,标准应用层协议,标准加密协议,标准非应用层协议,网络服务
AG9GgG的博客
05-07 957
远程文件拷贝 文件可以从一个系统拷贝到另一个攻击者工具或者其他文件,可以将工具从一个攻击者控制的外部系统通过远控信道或其他具有此功能的协议,如FTP,拷贝到受害者网络内,也可以将文件通过如scp, rsync和sftp等本地工具在Mac和Linux等不同操作系统之间进行拷贝。 攻击者还可以在受害者之间进行横向文件拷贝,使用固有的文件共享协议进行远程文件拷贝,例如通过SMB与连接的网络共享或使用Wi...
DNS部署之远程更新
nigar_的博客
11-29 228
DNS部署之远程更新 1.基于ip的更新 远程更新:我们部署了DNS集群后,如果我们在主DNS更新信息的话,辅助DNS服务器是可以及时更新的,但在其他远程主机中更新主DNS服务器的信息会被拒绝,如果要实现这样的远程更新需要进行以下的设定 在做之前备份一下文件 方便下一个实验恢复 - 在主DNS服务器中: cp westos.org.zone /mnt/ -p vim /etc/named.rfc1...
CDN和域名隐藏C2地址
最新发布
milu_Sec的博客
12-30 1170
准备:服务器⼀台cdn运营商域名靶机上只会有跟cdn的ip通信的流量,不会有跟真实C2通信的流量,可以保护C2的ip第⼀步:⾸先,注册cloudflare.com,cloudflare这是什么东西呢,它可以给你的网站添加CDN,CDN就是当不同地区的用户访问你网站时,就近访问最近的服务器获取数据。而且这个网站还是最快的DNS服务,关键它!添加站点选择免费的当前页面显示的是cloudflare发现的现有解析记录数据所以这里要注意去对比一下是否有缺少的解析记录(一般不会缺少)。然后点继续。
隐藏你的C2(使用域前置技术隐藏C2服务器,以及使用iptables策略来保护服务器)
Love&Share
12-17 2925
本文将会介绍使用域前置技术隐藏C2服务器,以及使用iptables策略来保护服务器
利用CDN、域前置、重定向三种技术隐藏C2的区别
热门推荐
Shanfenglan's blog
10-11 14万+
CATALOG前言对于三种隐藏技术的理解CDN技术隐藏C2域前置技术隐藏C2重定向技术隐藏C2三者的区别的总结其他阅读推荐 前言 这个课题前段时间已经分别做过研究,但没有写三者的区别分析,以为自己可以将三种技术永远记在心里,但是事实是确实淡忘一部分知识点,导致现在对三者的理解出现偏差。 反思:以后倘若需要做技术记录,一定要详细详细再详细,有备无患。不能抱有侥幸心理,因为你永远不知道,问题与遗忘哪一个会先来 对于三种隐藏技术的理解 CDN技术隐藏C2 反溯源-cs和msf域名上线 利用CDN隐藏C2地址 使用
华丽的伪装--dns协议上线你的c2
weixin_43227251的博客
04-12 1552
dns beacon上线cobale 环境介绍 cs4.1 vps 域名 1:部署域名解析 首先,用一台公网VPS作为C2(注意:VPS的53端口一定要开),并准备好一个可以配置的域名。然后,去配置域名的记录。首先创建记录A,将自己的域名 www.xxx.com解析到VPS服务器地址。然后,创建NS记录,将 ns1.xxx.com 指向 www.xxx.com 第一条A类解析是在告诉域名系统,www.xxx.com 的IP地址是 xx.xx.xx.xx 第二条NS解析是在告诉域名系统,想要知道 ns1.
ubuntu@ubuntu:~/serversign/djangoProject_tosServices_to_client$ sudo docker exec -it django_project_tos_services_local /bin/bash bash-5.0# apt update bash: apt: command not found bash-5.0# apt-get update && apt-get install -y apt bash: apt-get: command not found bash-5.0# RUN apt-get update && apt-get install -y --no-install-recommends apt-utils && \ apt-get install -y apt bash: RUN: command not found bash-5.0# apt-get update && apt-get install -y --no-install-recommends apt-utils && \ apt-get install -y apt bash: apt-get: command not found
05-27
这段代码看起来像一个在 Ubuntu 容器中执行的 Dockerfile。从错误信息来看,似乎是缺少了 apt 和 apt-get 这两个命令。这很可能是因为容器中没有安装相关的软件包或者路径没有正确配置。你可以尝试在 Dockerfile 中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值