黑客们最近利用开源的Pyramid渗透测试工具,建立隐蔽的命令与控制(C2)通信。Pyramid于2023年首次在GitHub上发布,是一个基于Python的后渗透框架,旨在绕过终端检测与响应(EDR)工具。
Pyramid工具的技术特性
Pyramid的轻量级HTTP/S服务器功能使其成为恶意攻击者减少检测风险的首选工具。它利用Python在许多环境中的合法存在,通过基于Python的HTTP/S服务器传递文件,并作为攻击操作的C2服务器。
该框架还包括直接加载知名工具(如BloodHound、secretsdump和LaZagne)到内存中的模块。Hunt.io的安全分析师指出,这种内存执行方式允许操作者在已签名的Python解释器上下文内行动,可能绕过传统的终端安全措施。
Pyramid README截图 (来源 – Hunt.io)
检测Pyramid服务器的机会
识别Pyramid服务器涉及分析特定的网络特征。当与疑似Pyramid服务器交互时,响应头会显示出以下独特特征:
`Server: BaseHTTP/0.6 Python/3.10.4 Date: WWW-Authenticate: Basic realm="Demo Realm" Content-Type: application/json`服务器还会返回一个JSON响应体:
`{ "success": false, "error": "No auth header received" }`
Pyramid C2 HTTP 401响应 (来源 – Hunt.io)
最近的扫描已识别出多个与Pyramid服务器相关的IP地址,包括104.238.61[.]144、92.118.112[.]208和45.82.85[.]50。这些服务器与一家名为DevaGroup的网络营销服务的域名相关联,尽管目前尚未发现恶意样本。
Pyramid C2服务器追踪 (来源 – Hunt.io)
检测技术细节
-
HTTP状态码:
401 Unauthorized
-
响应体哈希值 (SHA-256):
54477efe7ddfa471efdcc83f2e1ffb5687ac9dca2bc8a2b86b2 53cdbb5cb9c84
-
服务器头:
BaseHTTP/0.* Python/3.*
-
认证和内容头:
WWW-Authenticate: Basic realm=”Demo Realm” 和 Content-Type: application/json
这些参数可用于构建结构化查询,以识别与Pyramid相关的基础设施,从而增强网络安全防御。通过关注认证挑战、响应头和特定的错误信息,防御者可以提高检测的准确性,并减少误报。
随着开源攻击性安全工具的不断发展,追踪类似的实现将为新基础设施提供早期预警,并完善检测方法。
原文始发于微信公众号(FreeBuf):黑客利用Pyramid渗透测试工具进行隐蔽的C2通信
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论