利用CDN、域前置、重定向三种技术隐藏C2的区别_Shanfenglan's blog-CSDN博客_域前置
前言
这个课题前段时间已经分别做过研究,但没有写三者的区别分析,以为自己可以将三种技术永远记在心里,但是事实是确实淡忘一部分知识点,导致现在对三者的理解出现偏差。
反思:以后倘若需要做技术记录,一定要详细详细再详细,有备无患。不能抱有侥幸心理,因为你永远不知道,问题与遗忘哪一个会先来
对于三种隐藏技术的理解
CDN技术隐藏C2
反溯源-cs和msf域名上线
利用CDN隐藏C2地址
使用CDN隐藏c2流量
原理:让cdn转发合法的http或者https流量来达到隐藏的目的。
这些文章写的很详细,总结一下流程:
配置了cdn
拥有一个公网域名
配置cdn的A记录解析使其能解析到C2的ip
将公网域名填写到cs listener的host处并填写可用的端口
可达到的效果:受害主机上只会有跟cdn的ip通信的流量,不会有跟真实C2通信的流量,可以保护C2的ip,但是域名还是会暴露。
技术实现重点:
一个不备案的域名,否则这个方式毫无用处
这种技术对http与https没有强制要求,都可以使用,而域前置技术要求是https
域前置技术隐藏C2
域前置技术的原理与CS上的实现这篇我写的文章里面有具体的操作步骤,下面主要说说自己的理解。
域前置技术跟CDN技术比较类似,都是会用到CDN,但域前置技术必须要用https,因为它是基于TLS协议的,域前置还有一个特点是需要修改请求包的host头,修改方法是修改malleable profile文件,我的这篇malleable_profile文件配置概述写了修改方法,而CDN是创建好CDN后直接就可以使用的,不用做过多的配置不过效果也有不同,CDN技术只能用自己的域名,如果自己域名被放进黑名单基本就凉凉,但是域前置技术可以使用别人的高信誉域名来隐藏自己的真实域名,例如用微软的域名伪装自己,当然前提是微软的域名得跟你的域名再同一个CDN下,这种技术现在在不少的CDN厂商下都被禁止了,不一定会利用成功。
原理:同一个cdn厂商下倘若有两个域名a.com,b.com,这时候我们使用curl命令访问第一个a.com并将host名改为b.com这时候,实际访问的是b.com的内容。而一般的监测机制是不会检测host头的。
可达到的效果:通过一个高信任域名隐藏自己的真实域名与ip,且受害主机上的流量只有跟cdn通信的,不会有跟真实c2的。
技术实现重点:
需要基于https
需要知道cdn上的其他高信誉域名或者ip
需要修改malleable profile文件
重定向技术隐藏C2
利用apache mod_rewrite模块实现重定向技术来隐藏CS的teamserver的原理与实现
我的这篇文章写了原理与操作,同样的这次我主要说说我对这种技术的理解。
这种技术有点像乞丐版的CDN或者域前置技术。总的来说就是得有两台vps,一台做重定向,一台是真正的C2,而受害者只与那台做重定向的机器通信,重定向机器只会转发来自beacon的特定流量到C2控制端主机,对于其他流量可以自定义设置处理方法,一般是采用重定向到一些高信誉域名上例如百度等。
可达到的效果:受害者上只会有与重定向机器之间的流量,不会有与真实c2服务器的流量,重定向服务器会将非beacon的请求重定向到一些高信誉域名上,达到迷惑的目的,不过如果受害者ban掉了重定向机器的ip,对攻击者的损失也是很大的。
技术实现重点:
两台服务器
配置apache_rewrite
配置malleable profile文件
三者的区别的总结
从成本上来说,cdn技术与域前置技术都需要配置cdn,而重定向技术需要两台服务器,总的来说成本基本差不多。
从技术上来说:
cdn技术仅仅利用了cdn对http与https流量进行转发来达到的隐匿效果,可以隐藏ip不能隐藏域名。
域前置技术高级一些,但是却基于https的,可以隐藏ip与域名,效果我认为是最好的,只是因为现在不少的cdn厂商已经禁止了域前置技术的存在,想用的话得自己去找还依旧允许域前置技术的厂商。
重定向技术对运维人员迷惑效果还是不错的,但对于很专业的运维人员可能效果就没有那么好,而且配置也是最复杂的,如果被发现ban了自己的重定向机器,对于攻击队来说损失也不小,总的来说还是没有cdn的方法好用。
参考
2057
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
