JARM和HTTP响应追捕恶意基础设施

admin

102737
文章

87
评论

2023年7月25日14:44:19评论17 views字数 2722阅读9分4秒阅读模式

声明：该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。

请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

现在只对常读和星标的公众号才展示大图推送，建议大家把潇湘信安“设为星标”，否则可能看不到了！

0x00 前言

在这篇博文中，我将用两个实际的例子来简单介绍我狩猎QBot C2、Brute Ratel C4的方法。

我选择这两个是因为Brute Ratel C4和QBot之间虽然存在差异，但这种方法（JARM和HTTP Response哈希）适用于这两个示例并提供很好的结果。

0x01 过程

我的过程开始时总是在第一阶段寻找第一个节点，在第二阶段进行分析和升级，最后在第三阶段得出结果。

0x02 过程流程

我逐步寻找恶意基础设施的方法。

JARM和HTTP响应追捕恶意基础设施

寻找 QBot C2 基础设施（分步指南）

寻找第一个节点

这是我们寻找第一个恶意 C2 的起点，我推荐三个选项 VirusTotal、Threat Fox 和 Twitter，我通常在其中寻找第一个节点。

这是我们的起点 173.18.122.24（我从 Twitter 上获取了这个 IP），我们的目标是从一个恶意 C2 升级到识别数百甚至数千个恶意 C2。

在分析我们的第一个节点时，我建议始终关注证书、端口和 HTTP 响应等模式。

为实现的证书识别jarm是很重要的。

所有这些信息都需要了解威胁参与者如何构建恶意基础架构，并在此基础上构建我们的第一个搜寻规则。

在这里，您可以看到我如何构建我们的第一个规则及其背后的过程。

我们的第一个搜寻规则（使用一个 JARM）提供了 85 个 QBots 的有趣结果（注意证书模式和 HTTP 响应）。

http.html_hash:501510358 ssl.jarm:"21d14d00021d21d21c42d43d0000007abc6200da92c2a1b69c0a56366cbe21"

每个 QBot HTTP 响应中都有重复的模式。

HTTP/1.1 200 OKServer: nginx/1.9.12Content-Length: 4833

shodan搜索链接：

https://www.shodan.io/search?query=http.html_hash%3A501510358++ssl.jarm%3A%2221d14d00021d21d21c42d43d0000007abc6200da92c2a1b69c0a56366cbe21%22

下一步是升级，我们需要从一个 JARM 转向找到其他 JARM（基本上我们需要将规则转换为 HTTP 标头哈希）。

这条规则

http.html_hash：501510358 ssl.jarm:"21d14d00021d21d21c42d43d0000007abc6200da92c2a1b69c0a56366cbe21"”

应该变成这个

http.headers_hash:-1219739159

现在我们需要从规则中删除 JARM，只保留 HTTP 标头哈希和 HTTP 响应哈希。

http.html_hash:501510358 http.headers_hash:-1219739159

您可以在下面看到我们的狩猎规则现在包含三个 JARM：

21d14d00021d21d21c42d43d0000007abc6200da92c2a1b69c0a56366cbe2104d02d00004d04d04c04d02d04d04d9674c6b4e623ae36cc2d998e99e2262e00000000000000000000000000000000000000000000000000000000000000

让我们快速验证它们（始终检查模式是否符合我们的第一个狩猎规则）。

此 JARM 识别了 2 个 QBots IP

"00000000000000000000000000000000000000000000000000000000000000"

shodan搜索链接：

https://www.shodan.io/search?query=http.html_hash%3A501510358++http.headers_hash%3A-1219739159+ssl.jarm%3A%2200000000000000000000000000000000000000000000000000000000000000%22

而这个‍

"04d02d00004d04d04d04d02d04d04c9674b6e4ae623cc36d2e998e99e"

确定了另外 22 个 QBot

shodan搜索链接：

https://www.shodan.io/search?query=http.html_hash%3A501510358++http.headers_hash%3A-1219739159+ssl.jarm%3A%2204d02d00004d04d04c04d02d04d04d9674c6b4e623ae36cc2d998e99e2262e%22

现在让我们回到改进的规则。

http.html_hash：501510358 http.headers_hash：-1219739159

您现在可以看到识别出的 109 个 QBots 恶意 IP。

shodan搜索链接：

https://www.shodan.io/search?query=http.html_hash%3A501510358++http.headers_hash%3A-1219739159

Brute Ratel C4背后的过程看起来完全相同，你可以查看我的Twitter，从VirusTotal（第一个节点）的一个IP中，我能够转向并在互联网上找到Brute Ratel C4基础设施（包括红队）。

作者twitter链接：

https://twitter.com/MichalKoczwara/status/1652067563545800705
https://twitter.com/MichalKoczwara/status/1656591648732708865

我希望您从中学到一些东西，并发现它有助于保护您的组织免受威胁。

狩猎愉快！

关注我们

JARM和HTTP响应追捕恶意基础设施还在等什么？赶紧点击下方名片开始学习吧！

信安考证

需要考以下各类安全证书的可以联系我，价格优惠、组团更便宜，还送【潇湘信安】知识星球1年！

CISP、PTE、PTS、DSG、IRE、IRS、NISP、PMP、CCSK、CISSP、ISO27001...

推荐阅读

JARM和HTTP响应追捕恶意基础设施

原文始发于微信公众号（潇湘信安）：JARM和HTTP响应追捕恶意基础设施

左青龙
微信扫一扫

右白虎
微信扫一扫

JARM和HTTP响应追捕恶意基础设施

Forrester：2024年五大网络安全新威胁

新的R编程漏洞暴露项目面临供应链攻击

SpaceX 遭攻击，泄露近150GB数据以及多份图纸

为什么使用微软AI会加剧现有的数据质量和隐私问题

5000 多台 CrushFTP 服务器被零日漏洞攻击

利用山寨谷歌 Chrome 传播，安全公司披露勒索木马 Brokewell

大众汽车遭黑客入侵长达 5 年，燃油引擎 / 电池等机密文件泄露

原创 | 近年全球石油天然气行业网络安全事件汇总分析

近年全球石油天然气行业网络安全事件汇总分析

开源的Judge0 中存在多个沙箱逃逸漏洞，可导致系统遭完全接管

发表评论

在线咨询

微信