![](https://img-blog.csdnimg.cn/20201014180756925.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
远控-Command&Control
AG9GgG
这个作者很懒,什么都没留下…
展开
-
远程控制(command&control,C2)---DNS通道
DNS TunnelingDNS Tunneling是隐蔽通道的一种,通过将其他协议封装在DNS协议中传输。因为在互联网中DNS是一个必不可少的服务,所以大部分防火墙和入侵检测设备很少会对DNS流量进行过滤,由此DNS作为隐蔽信道有天生优势。原理DNS Tunneling可以分为直连和中继两种。直连:client直接和指定的目标DNS Server(Authoritative NS S...原创 2019-05-08 14:42:51 · 2180 阅读 · 0 评论 -
远程控制(command&control,C2)---多次跳转代理,多阶段通道,多频带通信,多层加密,端口试探,远程连接工具
多次跳转代理为了掩盖恶意流量的来源,攻击者可能会将多个代理链接在一起。通常,检测方能够识别进入网络前的最后一个代理,检测方不一定能够识别到最后一跳代理之前的其他代理。这项技术使得检测方需要通过追踪许多代理来进行恶意流量的溯源,导致恶意流量溯源变得更加困难。多阶段通道攻击者可以为不同通信条件或特定的功能创建多阶段远控通道,多阶段通道将混淆预案控通道,使得远控通道的检测更加困难。远程访问工具...原创 2019-05-07 16:30:28 · 1390 阅读 · 0 评论 -
远程控制(command&control,C2)---代理,自定义协议,数据加密与混淆,域前端,域名生成算法,备用通道
代理代理帮助系统之间进行网络通信,作为网络通信之间的媒介。现有许多代理都能够支持重定向,包括HTRAN,ZXProxy和ZXProtMap。代理的定义还可以拓展为P2P网络之间的信任关系,定期通信主机群或系统中的可信连接。网络内可能有一个或多个互相信任的组织。攻击者可以利用这些关系来管理远程控制通信,减少同时出站的连接数,在连接失败时能够弹性处理,避免在受控主机之间直接通信而被怀疑。自定义...原创 2019-05-06 12:29:19 · 1783 阅读 · 0 评论 -
远程控制(command&control, C2)---常用端口,非常用端口
攻击者经常使用这些端口,将攻击混迹于正常通信行为中,来绕过防火墙或检测软件:TCP HTTP: 80TCP HTTPS:443TCP SMTP:25TCP/UDP DNS:53内部网络通信常用协议:TCP/UDP RPC:135TCP/UDP SSH:22TCP/UDP RDP:3389...原创 2019-05-06 11:31:28 · 3165 阅读 · 0 评论 -
远程控制(command&control,C2)---远程文件拷贝,标准应用层协议,标准加密协议,标准非应用层协议,网络服务
远程文件拷贝文件可以从一个系统拷贝到另一个攻击者工具或者其他文件,可以将工具从一个攻击者控制的外部系统通过远控信道或其他具有此功能的协议,如FTP,拷贝到受害者网络内,也可以将文件通过如scp, rsync和sftp等本地工具在Mac和Linux等不同操作系统之间进行拷贝。攻击者还可以在受害者之间进行横向文件拷贝,使用固有的文件共享协议进行远程文件拷贝,例如通过SMB与连接的网络共享或使用Wi...原创 2019-05-07 17:44:00 · 966 阅读 · 0 评论 -
远程控制(command&control,C2)---Fast flux
Single Flux顾名思义,single flux是只有一层变化的fast flux,一个域名拥有一个不断变化的IP地址列表,列表可能包含成百上千条IP地址。为了实现频繁的IP地址变化,控制者控制最底层域名服务器,这个服务器返回频繁变化的C2服务器IP地址,如果使用别人提供的域名服务器,频繁的更改IP表容易被管理者检测出来,导致僵尸网络暴露。Double Flux较single flu...转载 2019-05-23 11:55:26 · 1541 阅读 · 0 评论 -
区块链域名的滥用
区块链域名的滥用一、简介 加密货币凭借自己的隐密性一直为网络犯罪分子们所喜爱,近年来,加密货币除了作为非法活动的支付方式外,恶意加密货币挖掘、加密货币钱包凭证收集、勒索活动等使用日渐频繁。 区块链提供的分布式账本技术为网络犯罪分子提供了新的思路,DNS解析本身就类似电话本,将域名与其IP地址的映射关系记录并供查询,于是区块链也能实现域名解析技术,但与传统的DNS解析不同。 我们正常使...转载 2019-06-25 16:29:20 · 2078 阅读 · 0 评论 -
Dictionary Extraction andDetection of Algorithmically Generated Domain Names inPassive DNS Traffic
基本概念Path,路径对于图G=(V,E),一个行程(walk)(v1,e1,v2,e2,...,vn,en,vn+1)(v_{1}, e_{1}, v_{2}, e_{2}, ... ,v_{n}, e_{n},v_{n+1})(v1,e1,v2,e2,...,vn,en,vn+1)中,如果没有重复经过同一个节点v和边e,称为路径。Cycle,循环对于图G=(V,E...原创 2019-09-18 18:54:11 · 437 阅读 · 0 评论