我们知道hack都会使用C2(命令和控制)控制受感染的主机系统.这些C2中的大多数都由大型僵尸网络控制,Hack只是简单地使用其中一些来访问系统,使他们可以转到另一台设备中去或窃取凭据并获得对系统的“合法”访问.
背景 伴随着维基红色团队基础架构(Red Team Infrastructure Wiki)的发布,今年圣诞节早早来临。 它在Jeff Dimmock和Steve Borosh的惊人的红色团队基础架构介绍之后正式亮相。 在设计和保护基础架构时,我甚至无法理解维基有多高的价值,以下是我的观点: 维基强调的一个关键设计因素是在基础架构设置中使用重定向器(redirectors)。重定向(redirection)几乎可以应用于基础架构的所有功能,包括服务负载、避免IR和在其他服务器中保护你的C2服务器。损失一台
使用正确的工具,您可以在不到一小时的时间内构建这样的系统!在此博客文章中,我将向您展示如何使用Raspberry Pi硬件和开源软件(MQTT代理、Apache NiFi、MiNiFi和MiNiFi C2 Server)实现高级IIoT原型。我将专注于体系结构,连接性,数据收集和自动重新配置。
想了很多题目,感觉都不合适,比如,初探 External C2、小白学 External C2、通过端口复用让无法主动出网内网机器在 CS 上线、菜鸡玩 Cobalt Strike 等等。
Java虚拟机创建了C1和C2编译器线程,用以优化应用程序的性能。但是有时这些线程会消耗大量CPU资源。在这篇文章中,我们将深入探讨C1和C2编译器线程,以及如何解决它们可能导致的高CPU消耗问题。
重定向器是位于你的目标网络和你的团队服务器之间的系统。任何去往重定向器的连接将转发到你的团队服务器进行处理。通过重定向器,可以为你的 Beacon payload 提供多个回连主机。使用重定向器有助于提升行为安全,因为它会使溯源团队服务器的真实地址变得更加困难。
在本文中,Unit 42 研究人员详细介绍了最近发现的恶意 Cobalt Strike 基础设施。我们还分享了恶意 Cobalt Strike 样本的示例,这些样本使用了 Malleable C2 配置文件,这些配置文件源自托管在公共代码存储库中的同一配置文件。
随着Android智能手机的普及和各种功能APP的流行,人们已越来越多地依赖智能手机存储处理个人和商务信息,而这也成为了犯罪份子进行信息窃取的隐蔽途径。近日,Palo Alto Networks公司研究人员发现了一种高级Android平台木马恶意软件 SpyDealer<点击阅读原文查看链接>,它能从40多个流行APP中收集个人隐私信息,并可通过滥用安卓辅助功能实现对多种通信APP敏感信息窃取。此外,SpyDealer会利用一款商业root软件获取手机root权限,以此进行更深入的隐私数据窃取。目前,该
在网络安全环境日趋复杂的时代,威胁行为者必须要定期更新和重构其恶意软件,以与其他威胁行为者和安全研究人员做“斗争”。自2023年9月首次发现以来,BunnyLoader恶意软件即服务(MaaS)一直都在更新其功能,包括以下内容:
我们还原了恶意iOS应用与C2服务器的通信协议,从而可以实际测试受感染的iOS应用有哪些恶意行为。 最后,我们分析了攻击的发起点:Xcode,分析了其存在的弱点,以及利用过程,并验证了该攻击方法。 一
之前文章,我们介绍过基于rtmp的直播环境的搭建,接下来,我们一起来学习一下Rtmp协议的细节,由于协议本身比较琐碎,小编会将rtmp协议拆解为一个个的小的模块,通过本公号推送rtmp协议的系列文章,欢迎诸位关注,本篇首先来看看rtmp协议握手的部分。
APfell是一个跨平台,可识别 OPSEC的红色团队,利用后的C2框架,使用python3,docker,docker-compose和Web浏览器UI构建.它旨在为操作员,管理人员和基于Mac OS和Linux的操作系统上的报告提供协作且用户友好的界面.它包括对多个C2配置文件,多种有效负载类型,Mac OS专有的自动化JavaScript(JXA)和有趣的Chrome扩展有效负载的支持.APfell也映射到我最喜欢的MITER ATT&CK框架.有趣的是,C2框架从知名的恶意软件家族(例如PlugX,Flame等)中获得灵感.
一个监听器既是一个 payload 的配置信息,同时又是 Cobalt Strike 起一个服务器来接收来自这个 payload 的连接的指示。一个监听器由用户定义的名称、payload 类型和几个特定于 payload 的选项组成。
PSRansom是一款带有C2服务器功能的PowerShell勒索软件模拟工具,该工具可以帮助广大研究人员模拟针对任何操作系统平台(只要安装了PowerShell即可)的通用勒索软件数据加密过程。在C2服务器功能的帮助下,我们甚至还可以通过HTTP从目标设备(客户端)中提取文件,并在服务器端接收信息。
C2翻译本:https://blog.ateam.qianxin.com/CobaltStrike4.0用户手册_中文翻译.pdf
在网络世界中, 各个计算机之间要想协同工作, 时间同步是一个十分重要的基础. 在计算机内部是有自己的时间的, 这个时间通过内部的晶体振荡器差生的固定频率, 来模拟时间流逝进行计算. 虽然频率十分稳定, 但也是有误差的, 虽然现在的工艺水平误差已经十分小了. (关于震荡的具体原理, 在此不表)
文章地址:https://www.freebuf.com/articles/network/330713.html
C2-Search-Netlas是一款功能强大的命令与控制(C2)服务器检测工具,该工具使用Java语言开发,基于Netlas API实现其功能,可以帮助广大研究人员轻松快速地识别和检测目标C2服务器的相关信息。
在攻击活动中,攻击者和APT组经常利用远程配置控制恶意软件。此类配置通常包含命令和控制(C2)服务器、服务器通信密码、活动标识符、互斥锁、安装位置等。
RTMP协议是Real Time Message Protocol(实时信息传输协议)的缩写,它是由Adobe公司提出的一种应用层的协议,用来解决多媒体数据传输流的多路复用(Multiplexing)和分包(packetizing)的问题。
可达到的效果:受害主机上只会有跟cdn的ip通信的流量,不会有跟真实C2通信的流量,
视频直播源码的RTMP协议从属于应用层,被设计用来在适合的传输协议(如TCP)上复用和打包多媒体传输流(如音频、视频和互动内容)。RTMP提供了一套全双工的可靠的多路复用消息服务,类似于TCP协议[RFC0793],用来在一对结点之间并行传输带时间戳的音频流,视频流,数据流。通常情况下,不同类型的消息会被分配不同的优先级,当网络传输能力受限时,优先级用来控制消息在网络底层的排队顺序。
作为进攻型运营商,我们通常有几种主流方法可用于将我们的 C2 流量转移到内部网络上。这些包括但不限于: · SMB 命名管道 · TCP
随着COVID-19影响持续升级,攻击者正在试图通过任何手段加速疫苗研发。有证据表明,Lazarus正在通过攻击与COVID-19研究有关的实体来获取此类情报。他们在9月底攻击了一家制药公司和COVID-19有关的政府部门。
xHunt活动从2018年7月份一直活跃至今,这个组织的主要目标针对的是科威特政府和航运运输组织。近期研究人员发现,xHunt的攻击者又攻击了科威特一家机构的Microsoft Exchange服务器。虽然我们无法确认攻击者是如何入侵这台Exchange服务器的,但是根据此次事件相关的计划任务创建时间戳,我们发现攻击者早在2019年8月22日之前就已经能够访问这台Exchange服务器了。在此活动中,攻击者使用了两个后门,一个是TriFive,另一个是Snugy的变种版本(这是一个Web Shell,我们称之为BumbleBee)。
文章首发于安全客:https://www.anquanke.com/post/id/231448
自去年9月Sekoia公司捕获了与特定C2服务器相关联的唯一IP地址以来,这个服务器每天都会收到来自超过170个国家感染主机的9万多个请求。
Zuthaka是一款开源的应用程序,旨在帮助红队研究人员完成安全分析与管理任务。Zuthaka可以简化很多操作任务,比如说针对不同APT和其他后渗透工具的管理等等。 除此之外,Zuthaka还是一个免费的开源协作C&C整合框架,可以允许广大开发人员专注于其命令控制服务器的核心功能和目标。 当前的C2生态系统正在迅速发展,以适应现代红队作战和多样化需求。这也给安全专业人员带来了很大的额外工作量以及开销。创建C2系统已经是一项艰巨的任务了,而且大多数可用的C2系统系统都缺乏直观且易于使用的Web界面。 因此,Z
Cobalt Strike 具有接受第三方命令和控制的能力,允许运营商远远超出该工具默认提供的 HTTP、DNS、TCP 和 SMB 侦听器。在外部命令和控制规范发布在这里,我们将这篇文章中被大量引用它。如果您不熟悉外部 C2 的概念,请务必至少阅读论文中的概述部分。
这篇文章为机器翻译文,如有英文阅读能力建议阅读原文:https://newtonpaul.com/cobalt-strike-bypassing-c2-network-detections/
在上周,Unit 42发表了一个篇关于介绍一个名为DarkHydrus的新威胁组织的博文,我们观察到该组织的目标是位于中东地区的政府实体。在这篇文章中,我们对通过鱼叉式网络钓鱼传播的被我们称之为RogueRobin的PowerShell payload进行了讨论。并且,我们还知道DarkHydrus在2018年6月实施了一次凭证窃取攻击。另外,这似乎还是一场仍在继续进行中的活动,因为我们有证据表明使用相同基础设施的凭证窃取尝试可以追溯到2018年秋季,而这些攻击所针对的目标均是位于中东地区的政府实体和教育机构。
关于Zuthaka Zuthaka是一款开源的应用程序,旨在帮助红队研究人员完成安全分析与管理任务。Zuthaka可以简化很多操作任务,比如说针对不同APT和其他后渗透工具的管理等等。 除此之外,Zuthaka还是一个免费的开源协作C&C整合框架,可以允许广大开发人员专注于其命令控制服务器的核心功能和目标。 当前的C2生态系统正在迅速发展,以适应现代红队作战和多样化需求。这也给安全专业人员带来了很大的额外工作量以及开销。创建C2系统已经是一项艰巨的任务了,而且大多数可用的C2系统系统都缺乏直观且易于使用
Hello大家好哇,我是你们的lmn小姐姐,从今天开始,我们要发N期Cobalt Strike的教程,主要是介绍从入门到入狱的过程,欢迎师傅们转发留言走起。
自1月下旬起,微步情报局捕获多个伪装成深信服V**升级程序SangforUD.exe的恶意样本,经核实发现:
RTMP(实时消息传输协议)是Adobe 公司开发的一个基于TCP的应用层协议。RTMP协议中基本的数据单元称为消息(Message)。当RTMP协议在互联网中传输数据的时候,消息会被拆分成更小的单元,称为消息块(Chunk)。我们视频直播点播流媒体服务器支持RTMP协议流的输出。
原因一:保护个人隐私是是第一出发点;科技进步飞快,网络也渗透入生活中的方方面面,近几年的隐私泄露事故时有发生,我们该如何保护个人隐私?
Wandera Threat Labs研究人员发现有十多个iOS应用程序感染了Clicker Trojan(点击木马)恶意代码并在苹果的应用商店传播。其使用和安卓广告欺诈活动相似的命令和控制服务器,暗自进行广告欺诈活动。
request :仅针对某次请求,因为该案例会有两次请求,所以无法使用 request
银行恶意软件一直都是我们暗影实验室关注的重点。近期,意大利出现了一种新型的Android恶意软件,研究人员发现它与目前已知的银行木马家族都不相关,命名这款新型的银行木马家族为TeaBot(也有命名为Anatsa)。
最近有一位读者跟我交流,说除了算法题之外,系统设计题是一大痛点。算法题起码有很多刷题平台可以动手实践,但系统设计类的题目一般很难实践,所以看一些教程总结也只是一知半解,遇到让写代码实现系统的就懵了。
2020年6月,ESET研究人员发现了一个未知的攻击活动,研究表明该攻击活动使用新的Lazarus后门,ESET研究人员将其称为Vyveva,用于攻击南非的一家货运物流公司。后门由多个组件组成,并通过Tor网络与其C2服务器通信。到目前为止,已经能够找到其安装程序,加载程序和主要payload:具有TorSocket DLL的后门。
其中 Cobalt Strike 侧重于 后渗透阶段。后渗透即为完成想要在目标网络中达到的目的的一个攻击步骤。如数据挖掘、监视用户、键盘记录、根据用户活动确定目标机会等。
根据卡巴斯基的最新发现,在针对土耳其、乌兹别克斯坦等多国的 Linux 版本中检测到了一个名为DinodasRAT 的多平台后门。
2020年3月25日,FireEye发表了APT41全球攻击活动报告。此攻击活动发生在1月20日至3月11日期间,主要对Citrix,Cisco和Zoho网络设备进行攻击。研究人员根据WildFire和AutoFocus数据获得了针对Citrix设备的攻击样本‘Speculoos’,还确定了北美,南美和欧洲等世界各地多个行业的受害者。
作为一个加密货币挖矿软件,StripedFly常年隐藏在一个支持Linux和Windows的复杂模块化框架后面。它配备了一个内置的TOR网络隧道,用于与命令控制(C2)服务器通信,同时通过可信服务(如GitLab、GitHub和Bitbucket)进行更新和交付功能,所有这一切都使用自定义加密归档。可以说,创建这个框架所付诸的努力确实十分了不起,同样地,它所披露的真相也相当惊人。
Arid Viper是一个带有极强网络间谍特征的威胁组织,Arid Viper的工具集涵盖多种操作系统平台,自2017年出现以来,该组织一直都在持续开发和使用各种移动端间谍软件。
MacC2是一款基于Python开发的macOS后渗透漏洞利用工具,该工具使用的是Objective-C调用或Python代码库,而并非命令行执行。MacC2的客户端基于Python2开发,虽然Python2现在已经算是被弃用了,但它仍然可以随Big Sur安装一起提供。在将来,苹果很可能会从macOS的基础安装组件中移除Python2(或者直接删除预置的Python环境支持),但直到2020年11月,这种情况还没出现。
Ninja是一个开源的命令控制C2服务器,由Purple团队设计、开发和维护。在Ninjia的帮助下,红队研究人员可以隐藏他们的计算机和活动目录枚举活动,并且不会被SIEM和反病毒产品检测到。目前,Ninjia仍处于测试阶段,稳定版本发布后,将会包含更多隐蔽技术和反取证技术,这对于蓝队来说将会是一个真正的挑战,以帮助他们确保防御系统的安全性,以检测到更加复杂的攻击。
研究人员近期发现了APT34利用新工具集进行的网络活动。根据此次发现的网络钓鱼文件,伊朗黑客组织将美国Westat员工或Westat提供服务的组织作为攻击目标。Westat是一家美国公司,为美国政府机构以及企业,基金会以及州和地方政府提供研究服务。
领取专属 10元无门槛券
手把手带您无忧上云