APT34-Glimpse与DNS隧道问题

最新推荐文章于 2022-12-02 16:14:38 发布
最新推荐文章于 2022-12-02 16:14:38 发布
阅读量343 收藏 2
点赞数
分类专栏: 美创安全实验室
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_38103658/article/details/101538184
版权
本文详细分析了APT34-Glimpse项目,这是一个使用DNS隧道进行通信的远控工具。文章介绍了DNS隧道原理,Glimpse的结构,包括Agent、Server和Panel组件,以及其通信过程。APT34-Glimpse通过DNS A/TXT记录进行命令分发和执行结果的回传,依赖PowerShell脚本,并利用DNS重定向进行感染。此外,文章还探讨了Agent和Server的功能,以及感染和隧道格式的细节。
摘要由CSDN通过智能技术生成

APT34-Glimpse与DNS隧道问题

背景:

2019年4月18日,某黑客组织使用Lab Dookhtegan假名,在Telegram频道上出售APT34团队的黑客工具,成员信息,相关基础设施,攻击成果等信息,引发业界威胁情报及Red Team领域的安全人员强烈关注。
在这里插入图片描述
其中APT34也被称为OilRig (Crambus,“人面马”组织,Cobalt Gypsy),是一个来自于伊朗的APT组织,从2014年开始APT34组织开始活跃,该组织执行了一系列针对伊朗的攻击活动。重点攻击目标位于中东地区,主要攻击针对金融、政府、能源、化工、电信和其他行业。包括阿提哈德航空公司,阿布扎比机场,阿联酋国家石油公司,兰普雷尔能源公司,科威特阿米里迪万湾,阿曼行政法院,阿联酋总理办公室等纷纷中招。
在这里插入图片描述
本篇文章,美创安全实验室将为大家分析APT34-Glimpse项目与DNS隧道问题

0x01 DNS隧道简介

DNS 协议是一个分布式的客户机/服务器网络数据库,分布式的原因是:互联网中没有单独 的一个站点能够知道所有的信息。 访问 DNS 是通过地址解析器的应用程序库来完成,在请求 TCP 打开一个连接或是使用 UDP 发送一个单播数据之前,需要知道 ip 地址。 而 DNS 隧道就是通过 DNS 建立起来的一种隧道连接。

0x02 APT34-Glimpse结构分析

Glimpse是一套使用DNS隧道的远控工具,下图为Glimpse文件列表
在这里插入图片描述
Agent: 客户端程序
Panel: 工具的图形面板
Server: 服务端程序
Readme.txt: 部署说明文档
在这里插入图片描述
runner_.vbs脚本用来启动当前目录下的PowerShell脚本文件,需要配合其他Execution方法去启动执行;
dns.ps1、dns_main.ps1、refineddns_main.ps1三个脚本文件功能基本一致,另外两个文件在dns_main.ps1的基础上做了变量名混淆;
在这里插入图片描述
newPanel-dbg.exe是一个C#开发的界面程序,是界面化的木马控制端,包括显示agent上线列表、命令执行、文件上传下载、查看执行结果、切换DNS请

最低0.47元/天 解锁文章
美创安全实验室
关注
专栏目录
APT组织常用攻击手法的梳理思维导图
10-24
整理了一下最近2年内一些APT常用的攻击手法,汇聚成了一个简单的思维导图用于后续的学习参考。
APT34原型: Glimpse project
systemino的博客
05-08 349
APT34 Glimpse project可能是截止目前研究人员最了解的的APT 34项目了。研究人员观察到基于文件的C2结构、VBS启动器、PowerShell Payload和dns引擎之上的秘密信道。 背景 从2014年开始,伊朗黑客组织APT34开始活跃,该组织执行了一系列针对伊朗的攻击活动。重要攻击目标位于中东地区,主要攻击金融、政府、能源、化工、电信和其他行业。 下面主要介绍Gl...
[转帖]APT34攻击全本分析
weixin_30628077的博客
05-08 496
APT34攻击全本分析 https://zhuanlan.kanxue.com/article-8401.htm 高手太多 我等菜鸟目不暇接.. 一、事件综述 2019年4月18日,黑客/黑客组织使用假名Lab Dookhtegan在Telegram频道上出售APT34团伙的工具包,此外还有收集到的受害者数据及工具后端面板内容截图。早在2019年3月中旬,该黑客/黑...
内网渗透之DNS隧道搭建
蚁景网安学院
08-26 1030
原创稿件征集 邮箱:edu@antvsion.com QQ:3200599554 黑客与极客相关,互联网安全领域里的热点话题漏洞、技术相关的调查或分析,稿件通过并发布还能收获200-800元不等的稿酬。 本文作者:D1m0n 前言 年初有幸参加了一次hvv,我主要负责内网渗透的部分,包括代理搭建,横向移动等等。那个时候,也是刚刚接触内网没两个月,赶鸭子上架的学了一下就上了战场。好在运气不错,通过weblogic的反序列化RCE拿到系统权限,后来发现了一个尴尬的问题,目标主机不出网,借助搜索引擎,大佬们都.
APT34泄露工具的分析——PoisonFrog和Glimpse
systemino的博客
04-23 691
0x00 前言 最近APT34的6款工具被泄露,本文仅在技术角度对其中的PoisonFrog和Glimpse进行分析。 参考资料: https://malware-research.org/apt34-hacking-tools-leak/amp/ 0x01 简介 本文将要介绍以下内容: ·对PoisonFrog的分析 ·对Glimpse的分析 ·小结 0x02 对Pois...
Android代码-glimpse-android
08-06
Glimpse A content-aware cropping library for Android. Give the right first impression with just a glimpse! Instead of center cropping images blindly, leverage Glimpse's eye to catch the right spot. ...
matlab最简单的代码-glimpse:冰川图像粒子定序器
05-22
matlab最简单的代码glimpse冰川图像粒子序列发生器 glimpse是一个Python软件包,旨在快速准确地分析冰川的延时照片。 一些有用的东西可以用做glimpse : 相机校准 glimpse.Camera :为变形的相机建模,并执行入射和...
glimpse-graphics.github.io:Glimpse框架项目网站
02-20
4. **使用示例**:网站会展示Glimpse在实际项目中的用法,通过具体的代码片段和截图,帮助你理解如何利用Glimpse来解决特定的问题。 5. **API参考**:对于开发者来说,API文档是必不可少的。Glimpse项目网站会提供...
glimpse-client:Glimpse Android客户端实现,专为Google Glasses和移动设备设计
05-03
标题中的“glimpse-client”是一个专门为Google Glasses和移动设备设计的Android客户端应用。它旨在提供一种方式来查看和分析设备上的数据或系统状态,可能是为了开发者调试、性能监控或者用户界面体验优化。...
apt34leak.zip
07-06
工具+源码 APT34是一个来自于伊朗的APT组织,自2014年起,持续对中东及亚洲等地区发起APT攻击,涉猎行业主要包含政府、金融、能源、电信等。多年来,攻击武器库不断升级,攻击手法也不断推陈出新,并且攻击行为不会因为被曝光而终止。
一文读懂DNS隧道
FreeBuf_的博客
12-02 3701
此篇文章为了读者看起来更加清楚,公网服务器与域名都是未打码的,希望各位大佬手下留情。
Glimpse使用介绍
weixin_34205076的博客
10-30 3262
Glimpse为ASP.NET程序提供了详细的性能、调试、诊断功能。它在每一个页面的下面展示了关键的性能指标。当你需要了解服务器的运行状况能让你深入到你的应用。Glimpse提供了非常多的有价值的信息,我建议你在开发环境中都使用它。 Fiddler和F-12 开发者工具提供了一个客户端的视图,Glimpse提供一个数据来自服务端的详细视图。 下面的教程的重点集中在使用在ASP....
使用dns2tcp搭建DNS隧道
若水斋
08-05 1万+
首发于 若水斋 0x00 问题场景 假设有如下图所示的问题场景。 办公电脑通过防火墙与互联网相连,防火墙被配置为仅允许DNS数据通过。在此场景下,办公电脑显然无法直接访问互联网。现在我们想做的是通过使用dns2tcp建立DNS隧道,使得办公电脑可以访问互联网。 许多大学的校园网在连接后,打开浏览器会自动跳转到身份认证页面。在认证前,是无法访问互联网的,但一般来说,其DNS解析是...
利用 DNS 隧道传递数据和命令来绕过防火墙
热门推荐
不急不躁
08-07 2万+
不论你对出站流量采取多么严格的访问控制,你可能都要允许至少对一个服务器的 DNS 请求。对手就可以利用这个防火墙上的“大洞”来偷运数据,并且建立一个非常难以限制的隐蔽命令控制信道。为了学习 DNS 作为命令控制信道的使用方法,我们今天来介绍一个由 Ron Bowes 开发的工具 dnscat2,有了这个工具我们就能轻而易举的实现这种攻击技术。 隧道的部署实施需要一个由攻击者控制的主机来运行 dns
CORS漏洞原理分析
m0_38103658的博客
10-24 5596
CORS跨域漏洞原理分析 CORS全称为Cross-Origin Resource Sharing即跨域资源共享,用于绕过SOP(同源策略)来实现跨域资源访问的一种技术。而CORS漏洞则是利用CORS技术窃取用户敏感数据。以往与CORS漏洞类似的JSONP劫持虽然已经出现了很多年,但由于部分厂商对此不够重视导致其仍在不断发展和扩散。 美创安全实验室近期监控到全国各地类似于JSONP劫持或CO...
Java反射机制与安全问题
m0_38103658的博客
04-13 4252
Java反射机制与安全问题 0x00前言 近日,笔者在总结Java反序列化漏洞的过程中发现一个怎么也绕不开的词“Java反射机制“,以前笔者只知道这是一个实现Java”准动态“语言,方便开发人员调试程序的机制而已,没想到“反射”竟成了反序列化漏洞攻击的手段之一,所以在这篇文章中好好的总结一下,反射机制的原理以及存在还哪些安全问题。 反射机制思维导图: 0x01 Java反射机制定义 Java反射...
glimpse network
最新发布
09-15
glimpse network是一个全球性的社交媒体平台,旨在连接世界各地的用户,让他们分享瞬间的生活。在glimpse network上,用户可以发布照片、视频和文字等内容,与朋友和家人分享自己的日常经历和感受。 glimpse network的独特之处在于它强调短暂而真实的分享。与其他社交媒体平台不同,glimpse network限制了每个发布的时长和内容,使用户更加专注于展示生活中的精彩瞬间。这个限制的设计使得用户可以更好地捕捉和分享真实的自己,避免了编辑和过滤的繁琐过程。它鼓励人们珍惜生活中的每个时刻,并与其他用户共同分享这些瞬间的美好。 此外,glimpse network还提供了一系列的社交互动功能,用户可以通过点赞、评论和私信等方式与其他用户进行互动。用户可以在平台上发现新的朋友,共同交流和分享自己的兴趣和爱好。 总的来说,glimpse network是一个独特的社交媒体平台,它着重于分享生活中的瞬间和真实的自己。通过这个平台,用户可以与世界各地的人们连接起来,共同记录和分享美好的瞬间。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值