JARM和HTTP响应追捕恶意基础设施

admin

139654
文章

114
评论

2023年7月25日14:44:19评论27 views字数 2722阅读9分4秒阅读模式

声明：该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。

请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

现在只对常读和星标的公众号才展示大图推送，建议大家把潇湘信安“设为星标”，否则可能看不到了！

0x00 前言

在这篇博文中，我将用两个实际的例子来简单介绍我狩猎QBot C2、Brute Ratel C4的方法。

我选择这两个是因为Brute Ratel C4和QBot之间虽然存在差异，但这种方法（JARM和HTTP Response哈希）适用于这两个示例并提供很好的结果。

0x01 过程

我的过程开始时总是在第一阶段寻找第一个节点，在第二阶段进行分析和升级，最后在第三阶段得出结果。

0x02 过程流程

我逐步寻找恶意基础设施的方法。

JARM和HTTP响应追捕恶意基础设施

寻找 QBot C2 基础设施（分步指南）

寻找第一个节点

这是我们寻找第一个恶意 C2 的起点，我推荐三个选项 VirusTotal、Threat Fox 和 Twitter，我通常在其中寻找第一个节点。

这是我们的起点 173.18.122.24（我从 Twitter 上获取了这个 IP），我们的目标是从一个恶意 C2 升级到识别数百甚至数千个恶意 C2。

在分析我们的第一个节点时，我建议始终关注证书、端口和 HTTP 响应等模式。

为实现的证书识别jarm是很重要的。

所有这些信息都需要了解威胁参与者如何构建恶意基础架构，并在此基础上构建我们的第一个搜寻规则。

在这里，您可以看到我如何构建我们的第一个规则及其背后的过程。

我们的第一个搜寻规则（使用一个 JARM）提供了 85 个 QBots 的有趣结果（注意证书模式和 HTTP 响应）。

http.html_hash:501510358 ssl.jarm:"21d14d00021d21d21c42d43d0000007abc6200da92c2a1b69c0a56366cbe21"

每个 QBot HTTP 响应中都有重复的模式。

HTTP/1.1 200 OKServer: nginx/1.9.12Content-Length: 4833

shodan搜索链接：

https://www.shodan.io/search?query=http.html_hash%3A501510358++ssl.jarm%3A%2221d14d00021d21d21c42d43d0000007abc6200da92c2a1b69c0a56366cbe21%22

下一步是升级，我们需要从一个 JARM 转向找到其他 JARM（基本上我们需要将规则转换为 HTTP 标头哈希）。

这条规则

http.html_hash：501510358 ssl.jarm:"21d14d00021d21d21c42d43d0000007abc6200da92c2a1b69c0a56366cbe21"”

应该变成这个

http.headers_hash:-1219739159

现在我们需要从规则中删除 JARM，只保留 HTTP 标头哈希和 HTTP 响应哈希。

http.html_hash:501510358 http.headers_hash:-1219739159

您可以在下面看到我们的狩猎规则现在包含三个 JARM：

21d14d00021d21d21c42d43d0000007abc6200da92c2a1b69c0a56366cbe2104d02d00004d04d04c04d02d04d04d9674c6b4e623ae36cc2d998e99e2262e00000000000000000000000000000000000000000000000000000000000000

让我们快速验证它们（始终检查模式是否符合我们的第一个狩猎规则）。

此 JARM 识别了 2 个 QBots IP

"00000000000000000000000000000000000000000000000000000000000000"

shodan搜索链接：

https://www.shodan.io/search?query=http.html_hash%3A501510358++http.headers_hash%3A-1219739159+ssl.jarm%3A%2200000000000000000000000000000000000000000000000000000000000000%22

而这个‍

"04d02d00004d04d04d04d02d04d04c9674b6e4ae623cc36d2e998e99e"

确定了另外 22 个 QBot

shodan搜索链接：

https://www.shodan.io/search?query=http.html_hash%3A501510358++http.headers_hash%3A-1219739159+ssl.jarm%3A%2204d02d00004d04d04c04d02d04d04d9674c6b4e623ae36cc2d998e99e2262e%22

现在让我们回到改进的规则。

http.html_hash：501510358 http.headers_hash：-1219739159

您现在可以看到识别出的 109 个 QBots 恶意 IP。

shodan搜索链接：

https://www.shodan.io/search?query=http.html_hash%3A501510358++http.headers_hash%3A-1219739159

Brute Ratel C4背后的过程看起来完全相同，你可以查看我的Twitter，从VirusTotal（第一个节点）的一个IP中，我能够转向并在互联网上找到Brute Ratel C4基础设施（包括红队）。

作者twitter链接：

https://twitter.com/MichalKoczwara/status/1652067563545800705
https://twitter.com/MichalKoczwara/status/1656591648732708865

我希望您从中学到一些东西，并发现它有助于保护您的组织免受威胁。

狩猎愉快！

关注我们

JARM和HTTP响应追捕恶意基础设施还在等什么？赶紧点击下方名片开始学习吧！

信安考证

需要考以下各类安全证书的可以联系我，价格优惠、组团更便宜，还送【潇湘信安】知识星球1年！

CISP、PTE、PTS、DSG、IRE、IRS、NISP、PMP、CCSK、CISSP、ISO27001...

推荐阅读

JARM和HTTP响应追捕恶意基础设施

原文始发于微信公众号（潇湘信安）：JARM和HTTP响应追捕恶意基础设施

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

JARM和HTTP响应追捕恶意基础设施

详情披露：美机构对我国大型商密供应商网络攻击事件

面对零日漏洞：如何提高应对能力？

犯罪分子在暗网上出售复杂的隐藏矿工恶意软件

一行代码如何让你的 iPhone 变砖

Linux安全盲区曝光：io_uring机制可绕过主流检测工具

伊朗黑客利用MURKYTOUR后门攻击以色列，利用工作主题进行社交工程攻击

《DDoS攻击威胁报告（2025版）》发布

微软警告：Storm-1977正针对教育行业发起密码喷洒攻击

Steam 客户端漏洞 &&从csgo角度看待网络安全

紧急预警！教育云遭黑客组织Storm-1977暴力入侵，200+容器被劫持挖矿！

发表评论

在线咨询

微信