应用场景攻防演练中防守方根据态势感知平台针对C2交互流量的分析溯源根据JA3指纹库识别防范云沙箱环境下针对木马样本的恶意分析阻止恶意的请求来实施重放攻击,实现混淆上线的效果在明确上线服务器IP的情况下,以白名单的方式限制访问交互流量的请求防范网络空间测绘技术针对C2设施的扫描识别,并重定向或拦截扫描探针的流量支持对多个C2服务器的前置流量控制,并可实现域前置的效果实现负载均衡上线,达到隐匿的效果IP 地址的归属地进行地域性的主机上线限制在不更改源码的情况下,解决分阶段checksum8规则路径解析存在的强特征。通过目标请求的拦截日志分析蓝队溯源行为,可用于跟踪对等连接事件/问题具有自定义对样本合法交互的时间段进行设置,实现仅在工作时间段内进行流量交互的功能Malleable C2 Profile 解析器能够严格根据 malleable profile验证入站 HTTP/S 请求,并在违规情况下丢弃外发数据包(支持Malleable Profiles 4.0+)内置大量与安全厂商相关联的设备、蜜罐、云沙箱的IPV4地址黑名单,实现自动拦截重定向请求流量可通过自定义工具与样本交互的SSL证书信息、重定向URL,以规避工具流量的固定特征
工具使用
基于白名单拦截
# Whitelist list example: AllowIP = 172.16.1.1,192.168.1.1AllowIP = 127.0.0.1基于时间段拦截
这个功能就比较有意思了,在配置文件中设置以下参数值,代表了流量控制设施仅可以上午8点至晚上9点上线,这里具体的应用场景也就是在指定攻击时间内,我们允许与C2进行流量交互,其他时间保持静默状态。这也能让红队们睡一个好觉,不用担心一些夜班的蓝队无聊去分析你的木马,然后醒来发生不可描述的事情,哈哈哈。 # Limit the time of requests example: AllowTime = 8:00 - 16:00AllowTime = 8:00 - 21:00
功能可参考使用文档:https://github.com/wikiZ/RedGuard/blob/main/doc/README_CN.md下载链接
1. 链接:https://pan.quark.cn/s/d8555ced685e 2. https://github.com/wikiZ/RedGuard/ 原文始发于微信公众号(昊天信安):【红队】一款C2设施前置流量控制工具
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论