现在只对常读和星标的公众号才展示大图推送,建议大家把潇湘信安“设为星标”,否则可能看不到了!
CDN隐藏C2地址
1、受控主机通过我们自己的域名进行回连,对外还是可以看到连接域名(下一步就是找到CDN后的真实IP),域名会暴露
子域名、IP历史记录解析查询、网站订阅邮件、网站订阅邮件、国外超级ping、https证书……2、受控主机还是通过我们自己的域名进行回连,对外还是能看到连接域名;且如果使用国内CDN的服务(增加了风险),域名就必须完成ICP备案(增加了风险);而且还有一些方法可能溯源到真实IP
这种技术对http与https没有强制要求,都可以使用,而域前置技术要求是https
域前置隐藏
这里简单进行执行命令,配合一下沙盒动态调试,实战情况下对木马进行反沙盒反调试(免杀)操作之后,威胁感知平台是很难分析出来的,这里只对域前置进行研究,排查其他因素干扰
奇安信:
直接只看到了伪造的域名,不过有经验的话可以通过w.kunlunaq.com后缀名可以知道这是阿里云cdn CNAME配置后缀
微步在线
微步NB!这里测试了几种样本,差不多都可以找到最终的CS服务器域名
这里做了命令交互所以很快就找到了真实CS服务器地址
这里可以看到,连外联域名也发生了更改
优点:本方案使用高信誉域名进行连接,通常安全设备很难检测,也很难封堵;
缺点:配置和准备条件较多步骤比较复杂,国内好像只有阿里云支持域前置,建议还是使用国外的cdn服务,不需要备案,再加上免杀的话效果可能更好一些
云服务API网关/云函数
使用科来工具抓包
1、stage下载(具体看你怎么生成的后门)
X-Api-RequestId: xxxX-Api-ID: xxxDate: Wed, 19 Apr 2023 04:16:48 GMTX-Request-Id: xxxX-Api-FuncName: helloworld-xxx #函数名 建议伪装成熟悉的业务名X-Api-AppId: xxxX-Api-ServiceId: service-ausqwb41X-Api-HttpHost: xxxX-Api-Status: 200X-Api-UpstreamStatus: 200
好像真没有特别好的应对措施……
批量上线消耗对方云函数调用资源
总结
参考
https://www.freebuf.com/sectool/270669.html
https://xz.aliyun.com/t/11625
文章来源:CSDN博客(今天是几号)原文地址:https://blog.csdn.net/weixin_53009585/article/details/130589792
关注我们
还在等什么?赶紧点击下方名片开始学习吧!
信 安 考 证
CISP、PTE、PTS、DSG、IRE、IRS、NISP、PMP、CCSK、CISSP、ISO27001... |
推 荐 阅 读
文章引用微信公众号"潇湘信安",如有侵权,请联系管理员删除!