利用CDN、域前置、重定向三种技术隐藏C2的区别

  • A+
所属分类:安全文章

CATALOG


    对于三种隐藏技术的理解CDN技术隐藏C2域前置技术隐藏C2重定向技术隐藏C2三者的区别的总结

前言

这个课题前段时间已经分别做过研究,但没有写三者的区别分析,以为自己可以将三种技术永远记在心里,但是事实是确实淡忘一部分知识点,导致现在对三者的理解出现偏差。


反思:以后倘若需要做技术记录,一定要详细详细再详细,有备无患。不能抱有侥幸心理,因为你永远不知道,问题与遗忘哪一个会先来

对于三种隐藏技术的理解

CDN技术隐藏C2

反溯源-cs和msf域名上线https://xz.aliyun.com/t/5728


利用CDN隐藏C2地址https://www.cnblogs.com/websecyw/p/11239733.html


使用CDN隐藏c2流量http://blog.sern.site:8000/2020/08/03/%E4%BD%BF%E7%94%A8CDN%E9%9A%90%E8%97%8Fc2%E6%B5%81%E9%87%8F/

原理:让cdn转发合法的http或者https流量来达到隐藏的目的。

这些文章写的很详细,总结一下流程:

  1. 配置了cdn

  2. 拥有一个公网域名

  3. 配置cdn的A记录解析使其能解析到C2的ip

  4. 将公网域名填写到cs listener的host处并填写可用的端口

可达到的效果:受害主机上只会有跟cdn的ip通信的流量,不会有跟真实C2通信的流量,可以保护C2的ip,但是域名还是会暴露。

技术实现重点:

  1. 一个不备案的域名,否则这个方式毫无用处

  2. 这种技术对http与https没有强制要求,都可以使用,而域前置技术要求是https

域前置技术隐藏C2

域前置技术的原理与CS上的实现https://blog.csdn.net/qq_41874930/article/details/107742843

这篇我写的文章里面有具体的操作步骤,下面主要说说自己的理解。

域前置技术跟CDN技术比较类似,都是会用到CDN,但域前置技术必须要用https,因为它是基于TLS协议的,域前置还有一个特点是需要修改请求包的host头,修改方法是修改malleable profile文件,我的这篇

malleable_profile文件配置概述https://shanfenglan.blog.csdn.net/article/details/107791606


写了修改方法,而CDN是创建好CDN后直接就可以使用的,不用做过多的配置不过效果也有不同,CDN技术只能用自己的域名,如果自己域名被放进黑名单基本就凉凉,但是域前置技术可以使用别人的高信誉域名来隐藏自己的真实域名,例如用微软的域名伪装自己,当然前提是微软的域名得跟你的域名再同一个CDN下,这种技术现在在不少的CDN厂商下都被禁止了,不一定会利用成功。


原理:同一个cdn厂商下倘若有两个域名a.com,b.com,这时候我们使用curl命令访问第一个a.com并将host名改为b.com这时候,实际访问的是b.com的内容。而一般的监测机制是不会检测host头的。

可达到的效果:通过一个高信任域名隐藏自己的真实域名与ip,且受害主机上的流量只有跟cdn通信的,不会有跟真实c2的。

技术实现重点:

  1. 需要基于https

  2. 需要知道cdn上的其他高信誉域名或者ip

  3. 需要修改malleable profile文件

重定向技术隐藏C2

利用apache mod_rewrite模块实现重定向技术来隐藏CS的teamserver的原理与实现https://shanfenglan.blog.csdn.net/article/details/107789018


我的这篇文章写了原理与操作,同样的这次我主要说说我对这种技术的理解。


这种技术有点像乞丐版的CDN或者域前置技术。总的来说就是得有两台vps,一台做重定向,一台是真正的C2,而受害者只与那台做重定向的机器通信,重定向机器只会转发来自beacon的特定流量到C2控制端主机,对于其他流量可以自定义设置处理方法,一般是采用重定向到一些高信誉域名上例如百度等。

可达到的效果:受害者上只会有与重定向机器之间的流量,不会有与真实c2服务器的流量,重定向服务器会将非beacon的请求重定向到一些高信誉域名上,达到迷惑的目的,不过如果受害者ban掉了重定向机器的ip,对攻击者的损失也是很大的。

技术实现重点:

  1. 两台服务器

  2. 配置apache_rewrite

  3. 配置malleable profile文件

三者的区别的总结

从成本上来说,cdn技术与域前置技术都需要配置cdn,而重定向技术需要两台服务器,总的来说成本基本差不多。


从技术上来说:

  1. cdn技术仅仅利用了cdn对http与https流量进行转发来达到的隐匿效果,可以隐藏ip不能隐藏域名。

  2. 域前置技术高级一些,但是却基于https的,可以隐藏ip与域名,效果我认为是最好的,只是因为现在不少的cdn厂商已经禁止了域前置技术的存在,想用的话得自己去找还依旧允许域前置技术的厂商。

  3. 重定向技术对运维人员迷惑效果还是不错的,但对于很专业的运维人员可能效果就没有那么好,而且配置也是最复杂的,如果被发现ban了自己的重定向机器,对于攻击队来说损失也不小,总的来说还是没有cdn的方法好用。


原创作者:Shanfenglan7

作者介绍:一个刚步入安全行业的人,乐意分享技术,乐意接受批评,乐意交流。希望自己能把抽象的技术用尽量具体的语言讲出来,让每个人都能看懂,并觉得简单。最后希望大家可以关注我的博客:shanfenglan.blog.csdn.net。


利用CDN、域前置、重定向三种技术隐藏C2的区别

红蓝演习之网络钓鱼篇

红蓝演习对抗之溯源篇

红队防猝死手册(附常见安全设备默认口令清单)

HW必备-蜜罐、Honeyd、网络与行为、数据分析等相关工具列表总结

攻防演练中红队如何识别蜜罐保护自己

干货|HW弹药库之红队作战手册  建议收藏

利用一个完全安全的C#文件下载远程木马到内存进行执行

免杀简述1(花指令/改特征码/shellcode加载器)

远程加载含有恶意代码的word模版文件上线CS

扫描关注乌云安全

利用CDN、域前置、重定向三种技术隐藏C2的区别


觉得不错点个“赞”、“在看”哦利用CDN、域前置、重定向三种技术隐藏C2的区别

本文始发于微信公众号(乌雲安全):利用CDN、域前置、重定向三种技术隐藏C2的区别

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: