一种颠覆防守方防守规则的流量隐藏方法

admin 2024年9月28日11:29:23评论15 views字数 783阅读2分36秒阅读模式

描述

 做过防守的应该都知道监控怎么看,也都有一套自己的方法。不知道你们是不是,反正之前的我,看到外网IP发起的请求,如果响应头和响应体都为空,那么可以认为这是一个探测请求,没有成功,之后就把这条事件给忽略了。

 正常情况下,如果想对服务端产生影响,两个机器需要有交互。需要攻击机和服务器有连接,有数据交换。出于这种前提,没有响应的事件,直接判定为未成功,不再进一步分析。

命令和控制如何更加隐蔽

大家熟知的方法

 基于前边的思考,如果想绕过监控者,达到命令和控制的目的,能不能找个第三方来中转攻击者的命令和控制?

 之前有看到某某APT组织把推特、youtube、Github等等社交平台当作中专,来进行命令和控制。

一种颠覆防守方防守规则的流量隐藏方法

无连接的权限维持

 那么,在内网中能不能设计出一套方法,让两台主机之间没有连接,还可以交换数据,达到命令控制的目的?还真想出来了一个这样的框架。    

主要是利用网卡的混合监听模式。我们知道,你在网络中的一台主机上监听,可以捕获该网卡所在网段的所有主机之间的网络流量。

简单点说就是,在C主机上设置网卡监听,可以偷听到A主机和B主机说的悄悄话。

一种颠覆防守方防守规则的流量隐藏方法

这种架构,可以完美的避开必须不需要连接的前提。可以说是非常隐蔽了。

蓝队在监控设备上看到的流量:一条外网主机发起的http请求,响应404,响应体为空,响应头也没什么特别。甚至这条请求就不会出现在告警平台上。

可行性探索

其实验证可行性也很简单,只需要把两个主机连接到同一个路由器或者交换机上,然后在其中一台上边打开Wireshark应用,开启混杂监听模式    

一种颠覆防守方防守规则的流量隐藏方法

结果如下:

一种颠覆防守方防守规则的流量隐藏方法

这里只是用ICMP协议做演示,其他协议也都一样。

防守方如何应对

俗话说知攻知防,那么蓝队该如何应对哪?    

可以定期查看一些莫名奇妙的请求,遇到莫名其妙的请求后,确实是不是业务,深入分析。    

原文始发于微信公众号(闲聊知识铺):一种颠覆防守方防守规则的流量隐藏方法

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月28日11:29:23
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   一种颠覆防守方防守规则的流量隐藏方法https://cn-sec.com/archives/3100531.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息