首页 > 其他分享 >【加密流量】概况

【加密流量】概况

时间:2024-09-05 15:29:25浏览次数:7  
标签:隧道 木马 流量 概况 DNS 攻击者 加密

一、概述

二、攻防演练场景资产失陷后常见加密流量
    2.1 正向C&C加密通道
    2.2 反弹C&C加密通道

三、 总结

原创 全栈网络空间安全

一、概述

在攻防演练期间,经过信息搜集、打点后,部分攻击者利用漏洞攻击、钓鱼等方式成功获得内网资产的控制权,为了保证对失陷资产的持续控制与后续扩大战果的需要,攻击者会上传木马运行,在失陷资产与外部控制端之间建立持续的通信信道。
然而,在企业网络边界上通常部署了大量的网络防护和监测设备,因此,攻击者为了躲避流量监测设备的发现,会对其使用的命令与控制信道使用各种隐藏手段,如加密、编码、伪装、利用隐蔽隧道等。

二、攻防演练场景资产失陷后常见加密流量

我们可以将攻防演练场景中,内部资产失陷后常见的加密流量总结为两大类:正向C&C加密通道和反弹C&C加密通道。

正向的C&C加密通道,主要是HTTP/HTTPS的Webshell连接和正向HTTP隧道代理;反弹C&C加密通道包括:TLS/SSL木马回连以及各种隐蔽隧道通信。

能够在内外网之间构建加密C&C通道的工具有很多,有的工具小巧且专业,能够搭建某一种加密信道并灵活配置,如:dns2cat,icmptunnel等;有的则具备平台级的强大功能,可以生成具备多种加密隧道的攻击载荷,如:CobaltStrike,MSF等;另外,还可以组合隧道工具与平台级攻击载荷在极端条件下实现命令与控制,如:利用代理转发工具、隧道工具上线CS等,下面是一些攻击类型与攻击工具的梳理:

2.1 正向C&C加密通道

● HTTP/HTTPS Webshell连接

通常,针对Web服务的漏洞利用成功后,攻击者会上传Webshell,如:冰蝎、哥斯拉、蚁剑等。这些Webshell即能在失陷的Web服务器与攻击者之间维持命令执行通道,又能用来上传具有更强大功能的平台级木马。随着Web服务的全面加密化,Webshell的通信经过了HTTPS加密,即使能够解密HTTPS流量,其HTTP载荷中也会经过二次加密和编码,尽可能不暴露明文特征,给流量检测带来很大挑战,去年攻防演练第一天更新上线的冰蝎4.0版本,临时增加可自定义的加密通信方式,给防守方带来了一波突然袭击,让人记忆犹新。

● HTTP隧道正向代理

当攻击者想要访问的内网资产无法出网时,可以通过在失陷的边界资产搭建HTTP隧道正向代理的方式,中转访问内网资产,常见工具包括reDuh,neo-regeorg等,其原理如下图:

2.2 反弹C&C加密通道

● TLS/SSL木马回连

出入企业网络边界最常见的加密协议是TLS/SSL,其广泛应用于Web服务、邮件服务、文件传输、移动APP等应用领域,可以保护用户通信数据的机密性和完整性。因此,大量攻击者同样通过TLS/SSL构建自己的恶意C&C加密通信信道,特别是网络边界设备通常不对出网的TLS/SSL流量做拦截,失陷资产上的木马可以通过这种方式将自己的流量混在大量访问网络正常应用的TLS/SSL加密流量中,神不知鬼不觉的与外网控制端维持C&C通信,这类工具或木马比较常见的像CobaltStrike、Sliver等,高水平的攻击者还会使用诸如:域前置、CDN、云函数等C&C隐匿技术,进一步隐藏自己的流量和控制端信息。

攻击者在构建真实的TLS/SSL加密C&C信道时,由于SSL证书的购买和认证需要填写真实身份信息,且价格不低,导致攻击者会倾向于使用免费或自签名证书,从而为检测提供线索。于是,有些攻击者使用Fake TLS或Shadow TLS的技术,利用知名网站的证书将其木马C&C通信的流量伪装成与白站的通信,再将自己实现的加密通信协议隐藏在TLS/SSL加密载荷中,从而做到逃避检测。

● 隐蔽隧道

在2022年攻防演练中,我们发现多起利用DNS隧道和ICMP隧道作为隐蔽信道的加密C&C通信事件,是最有代表性的隐蔽隧道通信方式。

DNS隧道

DNS是互联网上重要的域名服务,主要用于域名与IP地址的相互转换,因此,在企业网络中DNS流量通常不会被防火墙、入侵检测系统、安全软件等一般安全策略阻挡。攻击者利用这一特点使用DNS协议作为内外网之间通信的隐蔽信道,在攻防演练场景下常见的DNS隧道原理大致如下图所示:

攻击者攻陷内网资产后,植入木马,木马使用DNS协议中的子域名加密编码隐藏信息,并发出DNS请求查询;内网DNS服务器将查询转发到互联网DNS服务器,通常网络监测设备捕获的是位于这一段链路上的流量;外网DNS服务器经过递归查询重定向到伪造的DNS服务器,解析隐蔽传输的信息后利用DNS响应包返回控制命令;DNS响应包穿透网络边界最终返回到内网受控资产;受控资产上的木马解析响应包中的控制命令,继续后续攻击动作。

ICMP隧道

类似的,ICMP协议作为网络中传递控制信息的常见重要协议,往往限制较少或不加限制,所以攻击方在攻入内网后也可能使用ICMP协议的载荷数据(Data)部分隐蔽的进行控制指令或窃密数据的传输,这些被传输的内容大多数进行了加密保护。

如下图所示,利用ICMP回显请求和响应包(PING)载荷隐蔽实现C&C通信。

其他隧道

除此以外,利用应用层常见协议HTTP、SSH的隐蔽隧道,利用TCP、UDP载荷实现自定义协议的TCP、UDP隧道,或者支持多种隧道通信的各种代理转发工具,也是攻击者较常使用的隐蔽C&C通信手段,他们在不同的网络环境下,都具有穿透网络边界隐蔽传输数据的能力。在某些内网目标不能出网的环境,攻击者还可以组合使用各种隐蔽隧道、代理转发手段,来间接上线CS、MSF木马,实现远程控制。

三、 总结

随着近年来,加密流量在攻防对抗中的使用频率越来越高,针对攻防演练场景下的加密流量威胁,特别是资产失陷后的加密C&C通信的检测,可以说是守护企业网络的最后一道防线。观成科技多年来专注于加密流量威胁检测技术研究,形成了一套综合利用多模型机器学习、指纹检测、行为检测、加密威胁情报的解决方案,对各种不同类型的加密威胁进行有针对性的检测。在2022年的攻防演练中,观成瞰云-加密威胁智能检测系统首次参与即有亮眼发挥,多次独家检出攻击失陷阶段的加密C&C通信行为,做到及时发现,及时预警,为客户最大程度减少损失做出贡献。

标签:隧道,木马,流量,概况,DNS,攻击者,加密
From: https://www.cnblogs.com/o-O-oO/p/18398520

相关文章

  • WebShell流量特征检测_哥斯拉篇
    80后用菜刀,90后用蚁剑,95后用冰蝎和哥斯拉,以phpshell连接为例,本文主要是对这四款经典的webshell管理工具进行流量分析和检测。什么是一句话木马?1、定义顾名思义就是执行恶意指令的木马,通过技术手段上传到指定服务器并可以正常访问,将我们需要服务器执行的命令上传并执行2、特点......
  • 火山引擎VeDI赋能小城酒店业,助力“流量”向“留量”转化
    更多技术交流、求职机会,欢迎关注字节跳动数据平台微信公众号,回复【1】进入官方交流群。 今年,“去小城过假期”正悄然流行。根据途牛旅游发布的《2024年上半年度旅游消费报告》,三四五线城市及县域正得到越来越多游客的青睐,林芝、陵水黎族自治县、清远、上饶、乐山、牡丹江等......
  • 玄机蓝队靶场_应急响应_44:流量分析-蚂蚁爱上树
    分析:1,现在有一段被getshell的流量,需要找出黑客都做了些什么。流量大概可以分成两种,http和tcp。先看http。2,发现蚁剑流量,所以先把蚁剑的执行命令先全部找出来。蚁剑流量过滤:##(过滤请求包)http.request.urimatches"product2.php.*"&&http.request.method=="POST"##(过......
  • 2024年最强图纸加密软件大揭秘!图纸加密软件推荐
    在数字化时代,信息安全成为企业发展的重要保障,尤其是对于设计图纸等敏感数据的保护,选择一款可靠的图纸加密软件尤为重要。本文将为您推荐2024年十大图纸加密软件,帮助企业在日常工作中更好地保护知识产权和商业机密。2024年最强图纸加密软件大揭秘!1.固信软件产品功能:固信......
  • 2024年住宅代理市场概况:趋势与选择指南
    在数字化时代,网络安全和数据保护越来越受到重视。尤其在网络环境中,真实的IP地址成为保护个人信息安全和数据安全的重要抓手。住宅代理作为一种有效的解决方案,在这个领域扮演了关键角色。本文将探讨2024年住宅代理市场的概况,分析当前的趋势,并提供选择指南,帮助用户做出明智的决策......
  • 云服务器流量计费好还是带宽计费好
    云服务器的流量计费和带宽计费是两种不同的计费模式,各有优势和适用场景。选择哪一种更好取决于您的具体需求、使用模式以及预算。流量计费优势:灵活性:流量计费根据实际数据传输的总量进行计费,适合流量波动较大的应用。成本控制:如果您的流量使用不规律,流量计费可以帮助您更精准地控制......
  • “芯”视野主题系列——加密芯片在医疗、美容行业内的应用
    医疗、美容行业设备具有设备研发周期长、产品审核准入门槛高,审核资质时间长等特点,因此做医疗美容设备的公司,对资金链要求比较高,抗风险能力要强。否则在产品售出盈利之前公司可能就会垮掉。这也更加体现出研发一个好的医疗产品的不易,因此更要重视这个行业的知识产权保护。我们根据以......
  • 如何判断网站流量暴增是否是恶意攻击导致的
    当网站流量暴增时,判断是否是恶意攻击导致的至关重要,因为这直接影响到采取的应对措施。以下是一些方法和步骤来判定流量暴增是否由恶意攻击引起:1.流量分析流量模式:检查流量是否呈异常模式,例如流量在非常短的时间内急剧上升。访问来源:分析访问IP地址的来源地,如果大量流量来自同一地......
  • 常见问题解决 --- 如何给一个不支持配置代理的程序抓取https流量数据
    比如我有一个C#编写票务系统,它内嵌浏览器功能,我想抓取它的流量,但是这个客户端不支持配置代理设置解决办法:1.安装配置proxifier开启全局代理服务。安装好后网上有激活码激活一下,点击profile-proxyserver,添加一个代理服务器127.0.0.1,端口8080,协议https。点击profile-proxifi......
  • 通过引人入胜的Web故事,从Google Discover获取自然流量
    通过研究热门话题并创建引人入胜的网页故事,AatifMohd在6个月内通过GoogleDiscover提升了220万的自然流量。这让我们不禁想到,这些成功是否也能应用到AI驱动的流量增长中呢?例如,光年AI平台提供了一种简单易上手的工作流机制,可以帮助企业轻松创建引人入胜的内容,并将它们高效地......