JARM和HTTP响应追捕恶意基础设施

admin
admin
admin
137432
文章
113
评论
2023年7月25日14:44:19评论26 views字数 2722阅读9分4秒阅读模式
声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。


现在只对常读和星标的公众号才展示大图推送,建议大家把潇湘信安设为星标”,否则可能看不到了


0x00 前言

在这篇博文中,我将用两个实际的例子来简单介绍我狩猎QBot C2、Brute Ratel C4的方法。


我选择这两个是因为Brute Ratel C4和QBot之间虽然存在差异,但这种方法(JARM和HTTP Response哈希)适用于这两个示例并提供很好的结果。


0x01 过程

我的过程开始时总是在第一阶段寻找第一个节点,在第二阶段进行分析和升级,最后在第三阶段得出结果。
JARM和HTTP响应追捕恶意基础设施

0x02 过程流程

我逐步寻找恶意基础设施的方法。

JARM和HTTP响应追捕恶意基础设施


寻找 QBot C2 基础设施(分步指南)
寻找第一个节点

这是我们寻找第一个恶意 C2 的起点,我推荐三个选项 VirusTotal、Threat Fox 和 Twitter,我通常在其中寻找第一个节点。


这是我们的起点 173.18.122.24(我从 Twitter 上获取了这个 IP),我们的目标是从一个恶意 C2 升级到识别数百甚至数千个恶意 C2。


在分析我们的第一个节点时,我建议始终关注证书、端口和 HTTP 响应等模式。

JARM和HTTP响应追捕恶意基础设施


为实现的证书识别jarm是很重要的。
JARM和HTTP响应追捕恶意基础设施


所有这些信息都需要了解威胁参与者如何构建恶意基础架构,并在此基础上构建我们的第一个搜寻规则。


在这里,您可以看到我如何构建我们的第一个规则及其背后的过程。

JARM和HTTP响应追捕恶意基础设施


我们的第一个搜寻规则(使用一个 JARM)提供了 85 个 QBots 的有趣结果(注意证书模式和 HTTP 响应)。
http.html_hash:501510358 ssl.jarm:"21d14d00021d21d21c42d43d0000007abc6200da92c2a1b69c0a56366cbe21"


每个 QBot HTTP 响应中都有重复的模式。
HTTP/1.1 200 OKServer: nginx/1.9.12Content-Length: 4833
JARM和HTTP响应追捕恶意基础设施


shodan搜索链接:
https://www.shodan.io/search?query=http.html_hash%3A501510358++ssl.jarm%3A%2221d14d00021d21d21c42d43d0000007abc6200da92c2a1b69c0a56366cbe21%22

下一步是升级,我们需要从一个 JARM 转向找到其他 JARM(基本上我们需要将规则转换为 HTTP 标头哈希)。


这条规则

http.html_hash:501510358 ssl.jarm:"21d14d00021d21d21c42d43d0000007abc6200da92c2a1b69c0a56366cbe21"

应该变成这个
http.headers_hash:-1219739159
JARM和HTTP响应追捕恶意基础设施


现在我们需要从规则中删除 JARM,只保留 HTTP 标头哈希和 HTTP 响应哈希。
http.html_hash:501510358 http.headers_hash:-1219739159

您可以在下面看到我们的狩猎规则现在包含三个 JARM:
21d14d00021d21d21c42d43d0000007abc6200da92c2a1b69c0a56366cbe2104d02d00004d04d04c04d02d04d04d9674c6b4e623ae36cc2d998e99e2262e00000000000000000000000000000000000000000000000000000000000000
JARM和HTTP响应追捕恶意基础设施


让我们快速验证它们(始终检查模式是否符合我们的第一个狩猎规则)。


此 JARM 识别了 2 个 QBots IP

"00000000000000000000000000000000000000000000000000000000000000"
JARM和HTTP响应追捕恶意基础设施

shodan搜索链接:
https://www.shodan.io/search?query=http.html_hash%3A501510358++http.headers_hash%3A-1219739159+ssl.jarm%3A%2200000000000000000000000000000000000000000000000000000000000000%22


而这个

"04d02d00004d04d04d04d02d04d04c9674b6e4ae623cc36d2e998e99e"


确定了另外 22 个 QBot

JARM和HTTP响应追捕恶意基础设施


shodan搜索链接:
https://www.shodan.io/search?query=http.html_hash%3A501510358++http.headers_hash%3A-1219739159+ssl.jarm%3A%2204d02d00004d04d04c04d02d04d04d9674c6b4e623ae36cc2d998e99e2262e%22


现在让我们回到改进的规则。
http.html_hash:501510358 http.headers_hash-1219739159

您现在可以看到识别出的 109 个 QBots 恶意 IP。

JARM和HTTP响应追捕恶意基础设施


shodan搜索链接:
https://www.shodan.io/search?query=http.html_hash%3A501510358++http.headers_hash%3A-1219739159


Brute Ratel C4背后的过程看起来完全相同,你可以查看我的Twitter,从VirusTotal(第一个节点)的一个IP中,我能够转向并在互联网上找到Brute Ratel C4基础设施(包括红队)。

作者twitter链接:
https://twitter.com/MichalKoczwara/status/1652067563545800705
https://twitter.com/MichalKoczwara/status/1656591648732708865
JARM和HTTP响应追捕恶意基础设施


我希望您从中学到一些东西,并发现它有助于保护您的组织免受威胁。


狩猎愉快!


关注我们

JARM和HTTP响应追捕恶意基础设施 还在等什么?赶紧点击下方名片开始学习吧!JARM和HTTP响应追捕恶意基础设施


信 安 考 证



需要考以下各类安全证书的可以联系我,价格优惠、组团更便宜,还送【潇湘信安】知识星球1年!

CISP、PTE、PTS、DSG、IRE、IRS、NISP、PMP、CCSK、CISSP、ISO27001...
JARM和HTTP响应追捕恶意基础设施

推 荐 阅 读




JARM和HTTP响应追捕恶意基础设施
JARM和HTTP响应追捕恶意基础设施
JARM和HTTP响应追捕恶意基础设施

JARM和HTTP响应追捕恶意基础设施

原文始发于微信公众号(潇湘信安):JARM和HTTP响应追捕恶意基础设施

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年7月25日14:44:19
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   JARM和HTTP响应追捕恶意基础设施http://cn-sec.com/archives/1905606.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息