文章来源|MS08067 公众号读者投稿
本文作者:下次一定(白嫖知识星球活动)
- CDN技术隐藏C2
原理
让cdn转发合法的http或者https流量来达到隐藏的目的。
这些文章写的很详细,总结一下流程:
配置了cdn
拥有一个公网域名
配置cdn的A记录解析使其能解析到C2的ip
将公网域名填写到cs listener的host处并填写可用的端口
可达到的效果:受害主机上只会有跟cdn的ip通信的流量,不会有跟真实C2通信的流量,
可以保护C2的ip,但是域名还是会暴露。
技术实现重点:
一个不备案的域名,否则这个方式毫无用处 这种技术对http与https没有强制要求,都可以使用,而域前置技术要求是https
- 域前置技术隐藏C2
原理
域前置技术就是通过CDN节点将流量转发到真实的C2服务器,其中CDN节点ip通过识别请求的Host头进行流量转发。利用构造高信誉域名,比如微软谷歌等,可以有效的躲避DLP,agent等流量监测,从而实现绕过流量分析。
我的理解
同一个cdn厂商下倘若有两个域名a.com,b.com,这时候我们使用curl命令访问第一个a.com并将host名改为b.com这时候,实际访问的是b.com的内容。而一般的监测机制是不会检测host头的。可达到的效果:通过一个高信任域名隐藏自己的真实域名与ip,且受害主机上的流量只有跟cdn通信的,不会有跟真实c2的。域前置技术跟CDN技术比较类似,都是会用到CDN,但域前置技术必须要用https,因为它是基于TLS协议的,域前置还有一个特点是需要修改请求包的host头,修改方法是修改malleable profile文件,而CDN是创建好CDN后直接就可以使用的,不用做过多的配置不过效果也有不同,CDN技术只能用自己的域名,如果自己域名被放进黑名单基本就凉凉, 但是域前置技术可以使用别人的高信誉域名来隐藏自己的真实域名,例如用微软的域名伪装自己,当然前提是微软的域名得跟你的域名再同一个CDN下,这种技术现在在不少的 CDN厂商下都被禁止了,不一定会利用成功。
技术实现重点
需要基于https
需要知道cdn上的其他高信誉域名或者ip
需要修改malleable profile文件
- 重定向技术隐藏C2
原理
总的来说就是得有两台vps,一台做重定向,一台是真正的C2,而受害者只与那台做重定向的机器通信,重定向机器只会转发来自beacon的特定流量到C2控制端主机,对于其他流量可以自定义设置处理方法,一般是采用重定向到一些高信誉域名上例如百度等。
可达到的效果:受害者上只会有与重定向机器之间的流量,不会有与真实c2服务器的流量,重定向服务器会将非beacon的请求重定向到一些高信誉域名上,达到迷惑的目的, 不过如果受害者ban掉了重定向机器的ip,对攻击者的损失也是很大的。
技术实现重点:
两台服务器
配置apache_rewrite
配置malleable profile文件
三者的区别的总结 :
从成本上来说,cdn技术与域前置技术都需要配置cdn,而重定向技术需要两台服务器, 总的来说成本基本差不多。
从技术上来说:
cdn技术仅仅利用了cdn对http与https流量进行转发来达到的隐匿效果,可以隐藏ip不能隐藏域名。
域前置技术高级一些,但是却基于https的,可以隐藏ip与域名,效果我认为是最好的, 只是因为现在不少的cdn厂商已经禁止了域前置技术的存在,想用的话得自己去找还允许域前置技术的厂商。
重定向技术对运维人员迷惑效果还是不错的,但对于很专业的运维人员可能效果就没有那么好,而且配置也是最复杂的,如果被发现ban了自己的重定向机器,对于攻击队来说损失也不小,总的来说还是没有cdn的方法好用。
环境准备
1. 一个域名
2. 一个vps
3. 一个cnd服务厂商
VPS选择
其中为什么会写的一部分原因就是vultr的东京和南韩的节点多了起来,并且IP没有被污染,用起来很舒服:
注册方式,我们可以去万能的某宝购买一个GV的手机号,大概10块钱,购买成功后会给你一个邮箱和域名,就可以注册了
域名的购买
免费的tk域名并且还不需要备案:https://zhuanlan.zhihu.com/p/115535965 这边我用新网的域名:https://www.xinnet.com/composite/zt/20210408activity.html
新网的域名注册是非常的方便和快捷的,不会限制注册号码,只需要上传身份证的正反 面就可以直接通过验证,使用服务,域名一年大概只需要20元
CDN的选择
我使用的是免费的CDN:https://www.cloudflare.com/ 你可以搞到一个免费的CDN只需要邮箱就能注册
