【防溯源】如何通过域名 + CDN 完美隐藏你的 C2

admin 2021年5月29日04:54:38评论69 views字数 1061阅读3分32秒阅读模式

渗透攻击红队

一个专注于红队攻击的公众号

【防溯源】如何通过域名 + CDN 完美隐藏你的 C2


大家好,这里是 渗透攻击红队 的第 56 篇文章,本公众号会记录一些红队攻击的笔记(由浅到深),不定时更新


【防溯源】如何通过域名 + CDN 完美隐藏你的 C2
C2 隐藏


对于一个攻击者来说,被防守方发现是一件很可耻的事情,更别说被溯源到了个人信息。本篇文章主要写如何隐藏 C2,我这里用 CobaltStrike 来做演示,这种方式是利用成本最少最高效的,毕竟能白嫖域名和CDN,这种方式还能够避免被一些威胁情报平台溯源到真实的 VPS IP,打 hvv 够用了。



域名 + CDN = 隐藏 CobaltStrike Server

前期准备


首先需要去 freenom.com 注册一个域名,在注册的时候需要挂美国的代理,而且个人账号信息也需要填写为美国的信息!

具体参考这篇文章:https://mp.weixin.qq.com/s/4LDpKKMuOHNSPxWrkv3tFA

注册完成后就可以看到注册的域名了:

【防溯源】如何通过域名 + CDN 完美隐藏你的 C2

之后在 cloudflare.com 注册一个账号,然后添加一个域名,就是刚刚组册的域名,然后选择最下面的:

【防溯源】如何通过域名 + CDN 完美隐藏你的 C2

然后来到 DNS 处,找到该 CDN 的 DNS:    

【防溯源】如何通过域名 + CDN 完美隐藏你的 C2

填入到 freenom:

【防溯源】如何通过域名 + CDN 完美隐藏你的 C2

之后来到 Cloudflare 缓存处开启一下,这样访问免费域名就不会出现访问延迟等情况:

【防溯源】如何通过域名 + CDN 完美隐藏你的 C2

【防溯源】如何通过域名 + CDN 完美隐藏你的 C2

最后添加一个解析 A 记录到自己的 VPS,名称就是域名、内容就是 VPS 的 IP 地址:

【防溯源】如何通过域名 + CDN 完美隐藏你的 C2

添加完成后就可以 ping 域名看看是否配置成功:

【防溯源】如何通过域名 + CDN 完美隐藏你的 C2

超级 Ping 发现 CDN 也配置完毕,没有 VPS 的真实 IP:    

【防溯源】如何通过域名 + CDN 完美隐藏你的 C2


上线到  CobaltStrike 成功隐藏 IP


之后我们来到 VPS Server,启动一下 teamserver,客户端连接 C2:

【防溯源】如何通过域名 + CDN 完美隐藏你的 C2

在这之后新建一个监听器为 http 的,然后 Hosts 和 Beacons 都设置为域名:

【防溯源】如何通过域名 + CDN 完美隐藏你的 C2

注意 http port 端口只能设置成以下几个:

80,8080,8880,2052,2082,2086,2095

如果是 https 的监听端口只能设置成以下几个:

443,2053,2083,2087,2096,8443;

因为这是 Cloudflare 仅支持的端口,所以没办法把监听器设置成其他端口。

最后生成一个 exe 上线看看:

【防溯源】如何通过域名 + CDN 完美隐藏你的 C2

【防溯源】如何通过域名 + CDN 完美隐藏你的 C2

【防溯源】如何通过域名 + CDN 完美隐藏你的 C2

最后分析网络连接发现连接的 IP 已经是 CDN 的 IP 地址:

【防溯源】如何通过域名 + CDN 完美隐藏你的 C2

【防溯源】如何通过域名 + CDN 完美隐藏你的 C2

【防溯源】如何通过域名 + CDN 完美隐藏你的 C2

通过微步在线沙箱分析发现成功隐藏了 C2 的真实 IP:

【防溯源】如何通过域名 + CDN 完美隐藏你的 C2

【防溯源】如何通过域名 + CDN 完美隐藏你的 C2

这种方式能够在一定程度上防止被 BT 溯源到真实的 IP 地址,即使溯源到了真实的 VPS 的 IP,毕竟是匿名的 VPS ,除非反制拿到了 ROOT,否则也是无济于事。


【防溯源】如何通过域名 + CDN 完美隐藏你的 C2

渗透攻击红队

一个专注于渗透红队攻击的公众号

【防溯源】如何通过域名 + CDN 完美隐藏你的 C2



【防溯源】如何通过域名 + CDN 完美隐藏你的 C2
点分享
【防溯源】如何通过域名 + CDN 完美隐藏你的 C2
点点赞
【防溯源】如何通过域名 + CDN 完美隐藏你的 C2
点在看

本文始发于微信公众号(爱国小白帽):【防溯源】如何通过域名 + CDN 完美隐藏你的 C2

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年5月29日04:54:38
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【防溯源】如何通过域名 + CDN 完美隐藏你的 C2http://cn-sec.com/archives/362848.html

发表评论

匿名网友 填写信息