在本文中,我们将为读者介绍基于打印机跳板技术的新型C2及其检测方法。 在上一篇文章 中,我们为读者详细介绍了基于打印作业的新型Command & Control(C2)的工作原理,以及基于C3的打印通道的实现方法。在本文中,我们将继续为读者介绍针对这种新型C2的各种检测方法。
在端点上进行检测
模块加载事件
首先我们可以看一下模块加载事件。正如我们之前所做的那样,我们可以使用b33f的SilkETW来捕获我们的ETW遥测。下面的SilkService将提供我们所需要的东西:
<SilkServiceConfig>
<ETWCollector>
<Guid>870b50e1-04c2-43e4-82ac-817444a56364Guid>
<CollectorType>kernelCollectorType>
<KernelKeywords>ImageLoadKernelKeywords>
<FilterValue>Image/LoadFilterValue>
<OutputType>eventlogOutputType>
ETWCollector>
SilkServiceConfig>
在启动时,我们可以看到我们的Relay加载了DLL库“winspool.drv”。查看微软的文档,可以看出这是添加了打印作业的底层模块。
模块加载事件还突出显示了C3 Relay每次试图将作业添加到打印队列中时的情况。最值得注意的是,我们可以看到每次执行打印作业时,