主页 > 网络知识 > Red Team 又玩新套路,竟然这样隐藏 C2

Red Team 又玩新套路,竟然这样隐藏 C2

平静的一天,吉良吉影,哦不,微步情报局样本组突然收到这样一个样本。

 

Red Team 又玩新套路,竟然这样隐藏 C2

 

连接域名是 #######cs.com 相关子域名。

 

Red Team 又玩新套路,竟然这样隐藏 C2

 

乍一看,域名都是白的,应该没什么问题。

我定睛细瞧,最终确认,这是大名鼎鼎的 Cobalt Strike 木马(以下简称为 CS 马)。

仔细搜索,发现不简单。

 

Red Team 又玩新套路,竟然这样隐藏 C2

 

推测应该是最近非常流行的利用国内某 B 公有云云函数隐藏攻击资产的方法。

小样本不讲武德,竟然欺负一个注册了快5年的白域名,啪一下,很快啊~

 

Red Team 又玩新套路,竟然这样隐藏 C2

 

我们花了一个周末,弄清了云函数的来龙去脉。

总体分析

这个方法是最近除了“域前置”以外,另外一个 RT 特别喜欢的隐藏攻击资产的方法。可能是国内某 C 公有云平台最近修复了其云 IP 可以绕过对添加的 CDN 加速域名所有权的验证,导致现存的一些域前置域名成了“绝版货”,其云域前置攻击变得成本很高。而国内某 B 公有云云函数转发这种方式一方面免费,且部署成本较低,成为了一种新的选择。

总体攻击流程如下图所示:

Red Team 又玩新套路,竟然这样隐藏 C2

 

主要思路为,以往是受害主机运行木马后,通过 HTTP 的 GET 和 POST 方法去请求攻击者的服务器,从而实现持续控制。

而国内某 B 云转发的方法,其实跟我们平时用的 VPN 差不多,通过构造国内某 B 云函数,让函数实现转发请求流量的功能。

最后实现的效果就是在攻击机和受害机之间架设一层”中转站”,受害机只能看到自己的流量发送给了国内某 B 公有云,从而实现以下目的:

让受害机只能看到和高可信域名的通讯,放松警惕性。

隐藏 CS 服务器的 IP,从而实现攻击资产的隐蔽。

云服务器使连接更稳定,部分网络状况不好的服务器主机可以避免因为网络问题导致受害机下线。

这其实与之前的域前置攻击手法类似。

之前的域前置攻击手法为:

 

Red Team 又玩新套路,竟然这样隐藏 C2

 

都是通过一个中间件,将自己的流量转发,从而隐藏攻击资产,通过高可信目的地址迷惑用户。

只能说 Red Team 的手法真的是越来越多了,防不胜防。

 

Red Team 又玩新套路,竟然这样隐藏 C2

 

基于此的应对方法其实很简单:

上策:监测疑似 CS 马的攻击流量,例如请求 /pixel,/__utm.gif,/ga.js 等类似 URL 的流量进行重点监测,或者使用微步在线情报识别 CS 马的外联地址,我们已经收集了较多的某 B 云云函数地址情报以及相关的 CS 服务器地址。(要恰饭的嘛)

中策:确认自己资产中是否有某 B 云函数的正常业务,若无的话直接封禁 *.apigw.#######cs.com 等子域名。

下策:直接断网,只开放静态网页服务(bushi)

 

Red Team 又玩新套路,竟然这样隐藏 C2

 

防守视角攻击复现

在发现此类攻击之后,我们寻找了相关的攻击细节。

本文部分细节参考了「风起」的文章《红队攻防基础建设—— C2 IP 隐匿技术》, 感谢他~

有人说文章已经写过了如何利用,你为啥还要再写一遍?

说点什么吧
  • 全部评论(0
    还没有评论,快来抢沙发吧!