Sumap网络测绘探测C&C远控在野情况分析
0x00 网络测绘角度下的C&C威胁分析
在日渐激烈的网络对抗中,伴随渗透手段的更新换代,远控为了满足需求随之发展,种类繁多,常见的远控有:Cobalt Strike、Metasploit Framework、Empire、PoshC2、Pupy等。
在常见的远控中,Cobalt Strike是熟知的渗透测试利器,功能十分强大,可扩展性强,从前期载荷生成、诱饵捆绑、钓鱼攻击到载荷植入目标成功后的持续控制、后渗透阶段都可以很好支持,几乎覆盖攻击链的各个阶段。并且支持多种上线方式,以及多种丰富的配置可以达到非常好的隐蔽效果。CS teamserver团队服务器又可以使众多CS客户端连上它,以进行团队协作。Metasploit Framework能够提供众多漏洞利用,这两款远控功能强大且容易上手,因此也是广大redteamer的必备武器。
C&C作为全球范围红队的基础设施,长期部署在世界各个角落,如何通过探测C&C服务器成为了一个问题。传统的流量规则只能对小范围的C2设施进行识别,有一定的局限性。对于全网的资产识别,通过网络测绘来进行扫描识别C2会不会更全面呢?
0x01 网络空间测绘
互联网在高速发展的今天,传统的网络安全大多面向局部安全未曾考虑整体全网环境下的网络安全,这样也造成了近年来攻击者频繁面向全网展开攻击。数亿的物联网设备安全问题被大范围的暴露出来。同时攻击者在面向全网攻击既包括传统攻击方式WEB攻击,缓冲区溢出攻击,数据库攻击。同时也涵盖新型的针对物联网设备和工控设备层面的攻击也越发频繁。Sumap网络空间测绘拥有快速资产探测能力,以及资产监测能力,资产漏洞管理能力形成了一套基于全球网络空间资产安全整体安全解决方案。
0x02 具体分析
Metasploit
1.Metasploit 框架简介
在日常渗透测试中,Metasploit是常用的一款工具安全漏洞利用工具,它拥有最新的公开漏洞利用、后渗透利用模块等,它集成了各个平台常见的漏洞,拥有各种操作系统的shellcode,同时可以作为C&C维持目标权限。Meterpreter作为meatasploit框架的一个扩展模块,meterpreter是metasploit框架中的一个扩展模块,作为溢出成功以后的攻击载荷使用,攻击载荷在溢出攻击成功以后给我们返回一个控制通道,使用它作为攻击载荷能够获得目标系统的一个meterpretershell的链接。meterpretershell作为渗透模块有很多有用的功能,比如添加一个用户、隐藏一些东西、打开shell、得到用户密码、上传下载远程主机的文件、运行cmd.exe、捕捉屏幕、得到远程控制权、捕获按键信息、清除应用程序、显示远程主机的系统信息、显示远程机器的网络接口和IP地址等信息。
2.msf特征分析
开始对msf的reverse_http进行分析,在msf的metasploit-framework/lib/msf/core/handler/reverse_http.rb#83中
OptString.new('HttpUnknownRequestResponse',
'The returned HTML response body when the handler receives a request that is not from a payload',
default: '<html><body><h1>It works!</h1></body></html>'
)
通过分析特征,发现模仿的是apache的初始页面
https://raw.githubusercontent.com/apache/httpd/5f32ea94af5f1e7ea68d6fca58f0ac2478cc18c5/docs/docroot/index.html
但实际测试,apache的初始页面请求为:
< HTTP/1.1 200 OK
< Connection: keep-alive
< Content-Length: 45
而msf的apche页面为:
< HTTP/1.1 200 OK
< Connection: keep-alive
< Content-Length: 44
两者相比较Content-Length并不相同,相比apache原始页面多了\n。
在sumap平台中可以直接搜索
tags:"MSF http"
全球分布:
截止发稿前探测到msf reverse_http(s)全网有682台,同时sumap支持reverse_tcp连接查询。
直接搜索:
tags:"Metasploit Rex httpd"