Sumap网络测绘探测C&C远控在野情况分析

最新推荐文章于 2023-02-24 19:16:39 发布
最新推荐文章于 2023-02-24 19:16:39 发布
阅读量788 收藏 1
点赞数
分类专栏: sumap 网络空间测绘 文章标签: 信息安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zizi_xixi/article/details/111373312
版权

Sumap网络测绘探测C&C远控在野情况分析

0x00 网络测绘角度下的C&C威胁分析

​ 在日渐激烈的网络对抗中,伴随渗透手段的更新换代,远控为了满足需求随之发展,种类繁多,常见的远控有:Cobalt Strike、Metasploit Framework、Empire、PoshC2、Pupy等。

​ 在常见的远控中,Cobalt Strike是熟知的渗透测试利器,功能十分强大,可扩展性强,从前期载荷生成、诱饵捆绑、钓鱼攻击到载荷植入目标成功后的持续控制、后渗透阶段都可以很好支持,几乎覆盖攻击链的各个阶段。并且支持多种上线方式,以及多种丰富的配置可以达到非常好的隐蔽效果。CS teamserver团队服务器又可以使众多CS客户端连上它,以进行团队协作。Metasploit Framework能够提供众多漏洞利用,这两款远控功能强大且容易上手,因此也是广大redteamer的必备武器。

​ C&C作为全球范围红队的基础设施,长期部署在世界各个角落,如何通过探测C&C服务器成为了一个问题。传统的流量规则只能对小范围的C2设施进行识别,有一定的局限性。对于全网的资产识别,通过网络测绘来进行扫描识别C2会不会更全面呢?

0x01 网络空间测绘

​ 互联网在高速发展的今天,传统的网络安全大多面向局部安全未曾考虑整体全网环境下的网络安全,这样也造成了近年来攻击者频繁面向全网展开攻击。数亿的物联网设备安全问题被大范围的暴露出来。同时攻击者在面向全网攻击既包括传统攻击方式WEB攻击,缓冲区溢出攻击,数据库攻击。同时也涵盖新型的针对物联网设备和工控设备层面的攻击也越发频繁。Sumap网络空间测绘拥有快速资产探测能力,以及资产监测能力,资产漏洞管理能力形成了一套基于全球网络空间资产安全整体安全解决方案。

0x02 具体分析

Metasploit

1.Metasploit 框架简介

​ 在日常渗透测试中,Metasploit是常用的一款工具安全漏洞利用工具,它拥有最新的公开漏洞利用、后渗透利用模块等,它集成了各个平台常见的漏洞,拥有各种操作系统的shellcode,同时可以作为C&C维持目标权限。Meterpreter作为meatasploit框架的一个扩展模块,meterpreter是metasploit框架中的一个扩展模块,作为溢出成功以后的攻击载荷使用,攻击载荷在溢出攻击成功以后给我们返回一个控制通道,使用它作为攻击载荷能够获得目标系统的一个meterpretershell的链接。meterpretershell作为渗透模块有很多有用的功能,比如添加一个用户、隐藏一些东西、打开shell、得到用户密码、上传下载远程主机的文件、运行cmd.exe、捕捉屏幕、得到远程控制权、捕获按键信息、清除应用程序、显示远程主机的系统信息、显示远程机器的网络接口和IP地址等信息。

2.msf特征分析

开始对msf的reverse_http进行分析,在msf的metasploit-framework/lib/msf/core/handler/reverse_http.rb#83

        OptString.new('HttpUnknownRequestResponse',
          'The returned HTML response body when the handler receives a request that is not from a payload',
          default: '<html><body><h1>It works!</h1></body></html>'
        )

通过分析特征,发现模仿的是apache的初始页面

https://raw.githubusercontent.com/apache/httpd/5f32ea94af5f1e7ea68d6fca58f0ac2478cc18c5/docs/docroot/index.html

但实际测试,apache的初始页面请求为:

< HTTP/1.1 200 OK
< Connection: keep-alive
< Content-Length: 45

而msf的apche页面为:

< HTTP/1.1 200 OK
< Connection: keep-alive
< Content-Length: 44

两者相比较Content-Length并不相同,相比apache原始页面多了\n。

在sumap平台中可以直接搜索

tags:"MSF http"

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-TmmM6iBI-1608277454814)(./MSF_http.png)]

全球分布:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-5OkVbf4B-1608277454817)(./MSF_http_all.png)]

截止发稿前探测到msf reverse_http(s)全网有682台,同时sumap支持reverse_tcp连接查询。

直接搜索:

tags:"Metasploit Rex httpd"

最低0.47元/天 解锁文章
zizi_xixi
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
SUMAP联动MSF
zizi_xixi的博客
08-31 364
0x00 前言 前几天安恒SUMAP团队更新了新版的SDK3.0版本,本次测试主要围绕sumap sdk 3.0的 MSF 联动 功能。 0x01 安装 1. 运行安装脚本 本次测试以为kali Linux为基础测试,解压sumap msf联动插件,目录有两个PY脚本文件: ├── setup.py └── sumap_search.py setup.py是安装sumap MSF联动插件安装脚本,sumap_search.py功能插件。setup.py接受一个参数,参数是metasploit-framew
工具推荐|新鲜出炉,一键全自动资产漏洞探测扫描工具(攻击面管理(ASM)工具)
最新发布
logic1001的博客
04-02 673
攻击面管理(ASM,Attack Surface Management)是这两年安全行业很火的概念,强调企业应该从攻击者的视角去发现企业暴露在互联网上的资产、持续监测可能存在的安全威胁,最终实现消除外部威胁的目的。攻击面管理和漏洞扫描、漏扫管理、资产管理、零信任类的产品都有一些关系,从理念的角度:ASM 强调 “持续发现” 和 “持续扫描”ASM 的资产采集像知识图谱,在持续扫描的过程中逐渐补全,具备自动进化能力,每次扫描相较于上一次的效果都会更优ASM 更关注 “暴露面”,更关注 “资产变动”
CcRemote:这是一个基于gh0st远程控制的项目,使自己更深入地了解远控的原理,采用VS2017,替代中断劫持还在修改无法执行,主分支的项目可以正常的运行的,你可以切换到该分支查看可以执行的代码
03-19
默认分支hijack还在修改无法执行,master分支的项目可以正常的运行的,你可以切换到该分支查看可以执行的代码 CcRemote 这是一个基于gh0st远程控制的项目,使自己更深入了解远控的原理,来编写一个自己的远控(正在编写),项目采用VS2017 这是基于gh0st更改的项目,其中加入补充注释以及思维导图提供帮助,代码的框架思想非常值得学习,越看越觉得项目得精妙的设计。 通讯框架 通讯被控端采用插座,主控端采用的是IOCP完成端口,它可以高效地将I / O事件通知给应用程序,能够处理断开连接,处理逻辑我组装了xmind,一张图来了解通讯框架 主界面 各个功能实现的方法 1个外壳控制 shell管理用到匿名管道,创建CMD子进程实现进程间通信达到操作控制的目的:管道用于进程间通讯的一段共享内存。机。一个进程在想管道写入数据有,另一个进程就可以从瓜岛的另一端将其读取出来。匿名管道是
CobaltStrike魔改与增强
RedCode Team
12-01 5013
CobaltStrike魔改与增强写这篇文档的目的在于记录CS客户端和服务器的魔改过程
APT检测——论文精读】基于独立访问的APT中C&C检测
JURUO222的博客
02-24 1413
C&C的一个新特性,即独立访问,以表示C&C通信与正常HTTP请求之间的区别。将独立访问特性应用到DNS记录中,实现了一种新的C&C检测方法
安恒信息网络空间测绘解决方案:Sumap全球网络空间超级雷达
zizi_xixi的博客
12-02 2107
安恒信息网络空间测绘解决方案:Sumap全球网络空间超级雷达 Sumap 网络空间测绘 互联网在高速发展的今天,传统的网络安全大多面向局部安全未曾考虑整体全网环境下的网络安全,这样也造成了近年来攻击者频繁面向全网展开攻击。数亿的物联网设备安全问题被大范围的暴露出来。同时攻击者在面向全网攻击既包括传统攻击方式WEB攻击,缓冲区溢出攻击,数据库攻击。同时也涵盖新型的针对物联网设备和工控设备层面的攻击也越发频繁。 备注:全网(整体互联网空间,包括ipv4,ipv6,域名信息等) SUMAP全球网络空间超级雷达
网络资产测绘分析系统
08-17
网络资产测绘分析系统
网络空间测绘技术研究
01-20
网络空间测绘技术是一种网络共性基础与应用技术,对网络空间测绘相关技术的研究进展...然后,从探测层、映射层和绘制层分别阐述了网络空间测绘相关技术的研究进展;最后,指出了网络空间测绘亟待解决的一些关键问题。
从数据动态视角看网络空间测绘.pdf
08-08
汇总 ZoomEye 近 6年的线上IPv4测绘数据,从数据分析的角度来看网络空间的变化情况。同样能够从这些数据的分析当中看到一些新的观点和相应的支撑数据。 0.网络空间测绘的现状 2014心脏滴血 NSA武器泄漏(MS17-010) ...
CobaltStrikeParser
03-19
CobaltStrikeParser 适用于CobaltStrike Beacon配置的Python解析器 背景 将parse_beacon_config.py用于无阶段信标或内存转储。 许多无阶段信标是PE,信标代码本身存储在.data节中,并用4字节密钥进行异或。 parse_encrypted_beacon_config.py尝试查找xor密钥和数据,解密数据并从中解析配置。当parse_beacon_config.py无法正常工作时,可能应该使用它。 用法 usage: parse_beacon_config.py [-h] [--json] [--quiet] [--version VERSION] path Parses CobaltStrike Beacon's configuration from PE or memory dump. positional argument
sumap:手动映射驱动程序以获取签名的驱动程序存储空间
03-08
smap 手动映射驱动程序以获取签名的驱动程序存储空间 学分 测试系统 Windows 10教育版20H2 UEFI 安装 fat32格式USB 将文件从“预编译”文件夹中复制到USB 引导系统,反复按F8 / F11并从引导菜单中选择USB:UEFI
CC远程控制
12-22
全新写法,适用于初级学者。
基于人工智能的僵尸网络C&C主机检测
04-26
基于人工智能的僵尸网络C&C主机检测,内容丰富,值得学习~
BeeScan网络空间测绘工具的使用方式以及源码分析
05-06
BeeScan网络空间测绘工具的使用方式以及源码分析BeeScan是一个功能强大且高效的网络空间资产探测工具,它可以帮助用户快速发现和识别网络空间中的资产,并提供了丰富的功能和模块来满足不同的需求。
测绘常用程序C语言.doc
11-29
测绘常用程序C语言.doc
简单使用工具提取cobalt strike马
kernweak的博客
10-28 1431
针对hw,很多红队开发人员,都是简单加工了下CS马,套了层外壳,针对于这类样本的分析提取CS,可以使用工具快速分析提取CS的beacon,并不要什么太多操作。 首先拿到样本,先常规提取恶意PE文件。使用pe-sieve工具。 https://github.com/hasherezade/pe-sieve 比如提取后这种未命名的就是马所在。 如果套了几层,可以关键API下断,手动dump出内存,不过国内hw那些样本大部分都是简单构造。 再判断恶意代码是否为CobaltStrike,比如实例这里,IDA看到
[转]C&C控制服务的设计和侦测方法综述
tpriwwq的专栏
01-19 448
C&C控制服务的设计和侦测方法综述 | CN-SEC 中文网http://cn-sec.com/archives/57276.html 摘要 这篇文章总结了一些我在安全工作里见到过的千奇百怪的C&C控制服务器的设计方法以及对应的侦测方法,在每个C&C控制服务先介绍黑帽部分即针对不同目的的C&C服务器设计方法,再介绍白帽部分即相关侦测办法,大家来感受一下西方的那一套。这里的白帽部分有一部分侦测方法需要一些数据和统计知识,我也顺便从原理上简单讨论了一下用数据进行安全分析的方法
网络空间资产测绘知识小结
人若有志,就不会在半坡停止。
07-21 3238
网络空间资产测绘就是对全网的网络资产进行统计,分析,获取信息,通过这些信息给用户提供漏洞及时发现,漏洞发生之后,快速定位,以及安全数据分析等服务。追踪、掌握网络资产情况的过程,通常包括主机发现、操作系统识别、服务识别等,是实现网络安全管理的重要前提, > 在网络安全相关工作中具有广泛的应用价值。...............
d01网络资产测绘分析系统
07-30
D01网络资产测绘分析系统是一种用于评估和分析网络资产的工具。它能够对企业的网络资源进行全面的调查和测绘,以便更好地了解企业网络的底层结构和资源配置,有效地管理和保护网络资产。 该系统主要具备以下功能: 1. 资源调查:D01网络资产测绘分析系统能够自动扫描企业网络,收集各种网络设备、服务器、应用程序等信息。通过对这些信息的整理和分析,可以全面了解企业网络资产组成,帮助企业构建网络资产清单。 2. 网络拓扑分析:系统能够根据收集到的信息,生成网络拓扑图,清晰展示企业网络的结构和连接关系。这有助于企业更好地了解网络的布局和运行环境,从而优化网络架构,提升网络性能和安全性。 3. 资产评估:系统能够对企业网络中的各项资产进行评估,包括硬件设备、软件应用、安全配置等。通过评估结果,可以发现网络中的风险点和薄弱环节,并采取相应措施进行修复,保障网络的安全和稳定性。 4. 资产管理:该系统提供了一套完整的资产管理功能,包括资产标识、分类、申报、调拨、变更等。通过对网络资产进行全面的管理,企业可以更好地掌握自己的网络资源,提高资产利用率和管理效率。 D01网络资产测绘分析系统的使用能够帮助企业全面了解和管理自己的网络资产,从而提高网络的可靠性和安全性。它已经在各行各业得到广泛应用,并受到用户的一致好评。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值