点击蓝字关注我们
近年来,攻防演练持续开展,对抗烈度逐渐增强,攻防演练场景下产生的加密流量也逐年增多。本文针对攻防演练场景下的加密流量进行大致梳理。通过分析,我们可以发现,加密流量在整个攻防演练的所有环节都会出现。在演练场景不断贴近实战化的情况下,针对加密流量的检测已经成为不可回避的课题。
类别 |
攻击阶段 |
入联 |
信息收集、初始打点 |
横向 |
横向移动 |
出联 |
初始打点 |
横向移动 |
|
命中靶标 |
-
RDP暴力破解,对远程桌面进行登录口令的破解,一般使用3389端口。
-
SSH暴力破解,对SSH远程进行登陆口令的破解,一般使用22端口。
-
WEB漏洞扫描,目前大多数的站点已经启用了HTTPS的安全协议,所以我们在进行web渗透的时候中间流量只能看到加密的流量,无法看到执行了什么POC和探测请求。一般标准的HTTPS协议开放443端口。
-
端口转发,由于防火墙的策略设备,导致很多端口被封,那么这个时候就需要合理利用开放的端口将数据转发出去,本地端口的复用。如下图的188通过53端口转发187的3389端口流量给79。
-
加密转发,neo-regeorg加密代理HTTPS流量。
-
反弹shell,通过openssl可以加密反弹shell执行命令。
-
C2回联,这个在攻防中主要是一些可自动生成木马的平台工具,比如Cobalstrike,而且它们通常支持多种上线方式,下图为Cobalt Strike通过HTTPS协议上线的流量截图。
-
隐蔽隧道,通过DNS协议、HTTP协议、ICMP协议等,下图为DNS隧道示例。
-
CDN隐藏,通过配置CDN,使得C2地址隐藏,产生的流量直接走CDN地址。
相关阅读
原文始发于微信公众号(安全牛):攻防演练场景下的加密流量概况
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论