- 综合排序
- 最热优先
- 最新优先
- 来自专栏HACK学习
红队 | 流量加密:使用OpenSSL进行远控流量加密
此时,如果蓝队对攻击流量回溯分析,就可以复现攻击的过程,阻断红队行为,红队就无法进行渗透行为了。所以,我们需要对 shell 中通信的内容进行混淆或加密,实现动态免杀。 但是目标系统所在的网络区域存在IDS等流量监测设备,为了防止被监控后查杀,我们需要分别对 netcat、Metasploit、Cobalt Strike 三种远控工具的 shell 通信进行流量加密,从而绕过 可看到未加密的情况下,攻击机与目标机之间的通信都是明文传输的,所以流量设备可以很容易地查看到攻击者的行为记录的。 那么接下来将演示如何使用OpenSSL对nc进行流量加密。 1. Metasploit 流量加密 实验环境:Kali Linux 攻击 Windows 10 Metasploit 在内网做横行渗透时,这些流量很容易就能被检测出来,所以做好流量加密,就能避免审计工具检测出来 下面开始演示如何对 Metasploit 进行流量加密。
3.8K41发布于 2021-05-14 - 来自专栏网络安全随笔
加密流量识别技术
根据最新统计报告[3],截止 2017 年 2 月,半数的在线流量均被加密。对于特定类型的流量,加密甚至已成为法律的强制性要求,Gartner 预测到2021 年,83%的流量将被加密。 这意味着加密是一把双刃剑,保护隐私的同时也让不法分子有了可乘之机。加密能够像隐藏其他信息一样隐藏恶意流量,从而带来一系列蠕虫、木马和病毒。 加密流量识别什么加密与未加密流量,识别出哪些流量属于加密的,剩余则是未加密的识别加密流量所采用的加密协议,如 QUIC,SSL,SSH,IPSec识别流量所属的应用程序,如Skype,Bittorrent ,YouTube,谷歌搜索,淘宝网,凤凰网或中国银行等异常流量识别就是识别出 DDoS,APT,Botnet 等恶意流量内容参数识别就是对应用流量从内容参数上进一步分类,如视频清晰度,图片格式加密流量识别方法概览加密流量识别的首要任务是根据应用需求确定识别对象及识别粒度 加密流量精细化分类技术研究[D].东南大学,2018.
1.4K10编辑于 2024-03-20 - 来自专栏深度学习|机器学习|歌声合成|语音合成
恶意加密流量- pcap包解析
e5da c850 就是时间戳的高位 fbdc 0800 就是时间戳的低位 2a00 0000 就是数据包的大小,十六进制,转换成十进制,就是42 Byte 2a00 0000 就是抓到的包的大小 ffff ffff ffff 0000 0000 0000 0800 4500 001c 0001 0000 4032 7cad 7f00 0001 7f00 0001 0102 0304 0000 0001 就是数据包,长度一共是 42 Byte
3.3K10编辑于 2022-10-05 - 来自专栏kali blog
kali中对msf流量加密
并没有加密,传输内容容易被检测和发现。 如下,我们简单生成一个Android平台的shell。 加密msf流量 创建证书 openssl req -new -newkey rsa:4096 -days 365 -nodes -x509 \ -subj "/C=UK/ST=London/L=London 这样会在桌面生成一个www.bbskali.cn.pem的证书 生成加密的shell msfvenom -p windows/meterpreter/reverse_winhttps LHOST= 发现流量全是密文了。
1.2K50编辑于 2022-04-20 - 来自专栏云计算教程系列
使用Apache或Nginx加密Tomcat流量
在默认情况下安装时,Tomcat服务器与客户端之间的所有通信都是未加密的,包括输入的任何密码或任何敏感数据。我们可以通过多种方式将SSL合并到Tomcat的安装中。 Tomcat本身也能够加密本地连接,我们是不是有点画蛇添足,多此一举呢? 自签名证书提供了相同类型的加密,但没有域名验证公告。关于自签名证书,你可以参考为Apache创建自签名SSL证书和如何为Nginx创建自签名SSL证书这两篇文章。 现在输入以下命令打开文件: sudo vi /etc/httpd/conf.d/ssl.conf 在VirtualHost配置块内部,添加一个JkMount指令,将该虚拟主机接收的所有流量传递给我们刚定义的 结论 现在你可以在Web服务器代理的帮助下使用SSL加密Tomcat连接。虽然配置单独的Web服务器进程可能会增加服务应用程序所涉及的软件,但它可以显着简化SSL部署保护流量的过程。
2K60发布于 2018-08-01 - 来自专栏Tensorbytes
https加密协议流量劫持尝试
由越来越多的网页信息改为HTTPS 加密协议,传统的运营商基于DPI的数据获取和广告营销方式已经不可行,需要一种新的方式采集可用数据。 相对网页版,手机版的加密信息相对少些,因此可以以手机版本作为切入,获取用户部分信息。 实验结果: ?
1.2K20发布于 2019-10-23 - 来自专栏绿盟科技研究通讯
加密恶意流量优秀检测思路分享
本文介绍一种从加密流量中检测恶意流量的方法,来自清华大学的HawkEye战队,他们在DataCon2020大赛中获得加密恶意流量检测方向的一等奖,该方法的思路具有很好的借鉴作用,希望带给读者一些思考。 如何通过不解密的方式直接从大体量的加密流量中检测出恶意流量,是学术界和工业界一直非常关注的问题,且已经取得了一些研究成果,但大多都是使用单一模型或多个弱监督模型集成学习的方法。 由于数据包体量特征不受数据加密的影响,所以非常适合用于加密流量的检测。 ? 四、小结 本文介绍了一种加密恶意流量检测方法,首先通过对加密流量进行深入分析和特征挖掘,提取了单维/多维特征,然后对包级/流级/主机级流量行为进行分层分析和学习,构建不同的分类器,最终通过多模型投票机制提升了检测效率和性能 加密代理篇: 《初探加密流量识别》 恶意软件篇: 《基于深度学习的物联网恶意软件家族细粒度分类研究》 《关于恶意软件加密流量检测的思考》 加密webshell篇: 《【冰蝎全系列有效】针对HTTPS加密流量的
3.3K20发布于 2021-02-24 - 来自专栏红蓝对抗
流量加密之C2隐藏
所以我们需要加密流量保护CS服务器以免被防守方的安全监控检测出来甚至溯源我们的CS服务器,目前常用的隐藏手段包括域前置、CDN、云函数等,接下来我将介绍这几种常见的隐藏C2的方式。 与云函数类似,域前置技术主要通过CDN节点将流量转发给真实的C2服务器,CDN节点ip可通过识别请求的Host头进行流量转发,利用我们配置域名的高可信度,那么就可以有效躲避针对DLP、agent等流量监测 与此同时我们可以发现外部地址随着每次请求一直变化,因此防守方溯源到我们C2服务器的IP地址几率也就非常低在 CS 中成功执行命令并在受害主机上开启 WireShark 抓包在 WireShark 中跑的都是TLS加密流量 、目的地址为随机的CDN节点,因此无法溯源到我们C2服务器的真实IP0x03 总结通过这段时间针对流量加密的学习,我发现网络攻击与防守总是在不断转换,就像CDN在设计之初主要用于保护网站的真实IP,但作为攻击者我们也可以使用它来保护我们的 C2服务器;而使用OpenSSL生成的RSA证书除了身份验证以外也能够帮助攻击者加密流量、隐藏通信。
13.4K111编辑于 2022-06-21 - 来自专栏黑伞安全
干货--加密流量APP的渗透准备
又是喜闻乐见的加密流量!搞它。 APP是加壳的,先上frida-dexdump脱壳。 ? ? 这么多有encrypt关键字的,不好找,我们上DDMS: 通过profilling,我们很容易就能定位到加密函数: ? 上JEB,打开我们已经脱掉的dex文件: ? 恩,剩下的就是写脚本了。1. 为方便测试,我们使用burpy,这样就能直接在burpsuite上操作加密解密了。2. 为方便burpy调用加密和解密,需要把hook写成rpc的形式。
1.4K50发布于 2021-01-29 - 来自专栏FreeBuf
Shellcode与加密流量之间的那些事儿
分组密码 分组密码有很多种,但AES 128可能是目前最适合对在线流量进行加密的算法了,下面给出的是我们对不同种类分组密码的测试结果: ? 虽然这些加密算法都非常优秀,但是他们仍需要类似计数器(CTR)和基于认证的加密模块,其中最适合消息认证码(MAC)的加密算法就是LightMAC了,因为它在实现加密的过程中使用的是相同的分组密码。 置换函数 如果你花了很多时间去测试各种加密算法的话,你最终会发现在构造流密码、分组密码、加密认证模型、加密哈希函数和随机数生成器时,你需要的仅仅只是一个置换函数。 这里我们选择使用Gimli,因为它占用资源最少,并且可以用来构造针对通信流量的加密算法。 异或密码 接下来,我们实现一个针对数据流的简单异或操作(Just For Fun!)。 ,接下来才是加密数据。
94320发布于 2018-09-21 - 来自专栏绿盟科技研究通讯
关于恶意软件加密流量检测的思考
TLS作为数据包加密的标准协议,现在被各个主要的网站用来保护用户的消息、交易和凭证,但是越来越多的恶意软件也利用TLS加密来隐藏其通信,以绕过传统的检测设备或平台。 随着TLS的使用越来越普遍、有效证书的获取越来越廉价和容易,使用TLS的恶意软件也会越来越多,所以检测出恶意软件的TLS加密通信流量是非常必要的。 四、小结 本文列举了一些恶意软件和良性TLS流的区别,并就恶意软件通信流量检测的关键问题进行了探讨,实践表明,利用具有区分度的特征构建的模型在一段时间内能够有效地从TLS加密流中检测出恶意流。 URL: https://www.stratosphereips.org/datasets-malware 更多加密流量相关文章,欢迎点击阅读相关文章。 加密代理篇: 《初探加密代理识别》 恶意软件篇: 《基于深度学习的物联网恶意软件家族细粒度分类研究》 加密webshell篇: 《【冰蝎全系列有效】针对HTTPS加密流量的webshell检测研究》 《
2.2K30发布于 2021-01-27 - 来自专栏FreeBuf
利用SSH隧道加密、隐蔽C&C通信流量
众多厂商和企业对网络流量进行恶意流量分析检测,从而针对性的采取防御措施,如各级ISP在骨干网络设备上大多采用网络流量分析检测的防御方案。 本文想通过标准的SSH的端口转发建立SSH形式的加密隧道,用于加密、隐蔽传输恶意流量,从而避免通过流量检测发现恶意行为。复现实验部分以C&C通信流量为例进入实验。 通过SSH隧道进行加密和隐藏的C&C流量在外部流量特征分析仅表现为标准SSH流量。 ? 二、实验原理 本次实验使用Empire工具快速搭建C&C信道,本文只简要介绍对于Empire工具。 2.1 SSH隧道介绍 SSH 会自动加密和解密所有 SSH 客户端与服务端之间的网络数据。 (4) 配置C&C和SSH参数使二者配合实现加密、隐藏恶意流量的目的。 本文思想源于FreeBuf大神"興趣使然的小胃",特此感谢。
2.5K10发布于 2019-07-22 - 来自专栏软件测试技术
如何通过LoadRunner测试MQTT协议、实现加密流量测试
二、LoadRunner加密流量测试在使用LoadRunner进行性能测试时,如果被测系统使用了加密流量要求通过 SSL/TLS 加密通道进行通信,LoadRunner通过支持SSL/TLS 协议对流量进行加密测试 LoadRunner 支持在性能测试中配置 SSL/TLS 协议,以模拟加密流量。 在进行加密流量测试时,LoadRunner 还可以结合其他安全性测试,确保系统的安全性和性能。加密流量的测试不仅仅是验证通信的安全性,还需要评估加密和解密操作对系统性能的影响。 在LoadRunner中,测试完成后,可以查看加密流量对响应时间、吞吐量、CPU 使用率等性能指标的影响。 通过 LoadRunner 的安全性和性能测试,企业可以在保持高安全性要求的同时,确保系统能够处理高并发和加密流量。如需产品7天试用,可私信我获取。
12410编辑于 2026-03-25 - 来自专栏HACK学习
红蓝对抗——加密Webshell“冰蝎” 流量 100%识别
0X01 "冰蝎" 获取密钥过程 冰蝎执行流程 (图片来自红蓝对抗——加密Webshell“冰蝎”攻防) 冰蝎在连接webshell的时,会对webshell进行两次请求访问 为什么进行两次访问? webshell内添加任意内容 (比如gif89a子类的文件头或者其它标示字符) 冰蝎在初始化密钥时会对webshell进行两次访问,然后比较两次页面返回的差异,把两次请求都相同的字符记录一个位置,后续加密会用到这两个位置 (beginIndex,endIndex) ) 如图,根据数据包,beginIndex:8 endIndex:4 (含换行),冰蝎开始从数据流中截取被加密的数据从下标8开始到(数据包总长度-4) Waf Path 或者 HttpOnly 之类或者其它的) 冰蝎直接把返回协议头中的Set-Cookie字段直接添加到下一个请求包的Cookie字段中 正常的请求是不会携带Cookie属性的,这可是识别冰蝎流量最直接的一种办法 次的数据包进行截取,比对相同字符,比对之后,截取两次不同的数据,如果剩下的是16位的key,就可以证明这两个数据包就是冰蝎发出的,第三个数据包通过 0x02,0x03 中的一些bug,可以100%的匹配到冰蝎流量
1.3K10发布于 2020-04-27 - 来自专栏AI科技评论
WWW`22丨中科院信工所提出:面向多场景低资源加密流量分类的加密流量预训练技术
ET-BERT可以应用到多个加密流量场景任务中,比如新型加密协议TLS 1.3网站和应用分类,加密隧道VPN应用分类,匿名通信Tor应用分类,恶意服务Malware Service分类,不均衡加密移动应用分类等场景 该方法对全加密网络时代下,加密流量分类技术的研究和网络空间安全的维护具有重要启发。 因此,研究者认为: 现有挖掘加密流量特征的模型并没有考虑到加密流量在不同场景下都具有流量的共性特征,在流量表征过程只关注单一场景; 现有引入预训练架构的模型没有从深层次发掘和利用流量的传输行为对区分不同应用的关联关系 说明:加密流量及其结构 流量的形式在网络传输中是二进制的比特流形式,主要构造单元有数据包和会话流。 ET-BERT具有良好的泛化性,能够适应不同的加密流量场景,包括新型加密协议,在未来全加密网络中应用更加普适和可靠的网络行为分析技术具有较好的启示作用。
2.2K20编辑于 2022-03-17 - 来自专栏云计算教程系列
如何在Ubuntu 16.04上使用Stunnel加密流量到Redis
Redis不提供自己的任何加密功能。它的运作假设它已部署到隔离的专用网络,只能由可信方访问。如果您的环境与该假设不匹配,则必须单独将Redis流量包装在加密中。 在本教程中,我们将演示如何使用名为stunnel的安全隧道程序加密Redis流量。Redis客户端和服务器之间的流量将通过专用的SSL加密隧道进行路由。 对于基本的加密通信,该stunnel实用程序易于安装和配置。它支持两台机器之间的加密转发。客户端连接到本地端口,并stunnel将其包装加密,然后再将其转发到远程服务器。 我们希望通过accept将流量加密到Redis服务器外部IP地址上的默认Redis端口(端口6379)。然后我们希望通过connect将流量传输到本地接口上的默认Redis端口以存储解密的流量。 要允许所有流量到端口6379,请输入: sudo ufw allow 6379 这将打开对stunnel正在侦听的公共接口上的端口6379的访问。该stunnel端口仅接受加密流量。
3K40发布于 2018-09-27 - 来自专栏绿盟科技研究通讯
【顶会论文分享】未知模式加密恶意流量实时检测
引言 流量加密技术已经被广泛应用于保护互联网信息的传递,但同时也会被一些攻击者利用,用于隐藏其恶意行为,如恶意软件、漏洞利用、数据泄露等。 现如今,大多数加密流量检测方法都依赖于已知攻击的先验知识,而无法检测未知模式的攻击。 模型框架 通常情况下,加密恶意流量与良性流量流的特征极其相似,而在攻击者与受害者交互模式中出现的恶意行为与良性行为差异较为明显。 将实验中使用的80个新数据集分为四组,其中三组是加密的恶意流量:(1)传统的蛮力攻击。(2)加密泛洪流量。(3)加密web恶意流量。(4)恶意软件生成加密流量。 表1 数据集的平均精确度 另外,无论对于传统攻击流量,加密泛洪流量,加密网络流量,恶意软件流量,Hypervision都获得了比其他五组基线准确率获得一定程度的提高. 4.3 吞吐量评估 图5展示的是图检测的吞吐量信息
4.9K20编辑于 2023-10-09 - 来自专栏R0A1NG 技术分享
Cobalt Strike特征隐藏和流量加密(CS服务器伪装)
microsoft.com, OU=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=WA, C=US" 修改一些关键词信息即可 4.修改流量特征 "Server" "Apache"; header "X-Powered-By" "Apache"; output { base64; # 加密方式
4K20编辑于 2022-02-19 - 来自专栏FreeBuf
加密流量怎么做安全检测 | FreeBuf甲方群话题讨论
数据流量是数据资产的重要组成部分,也是数字化业务的核心,但在网络攻击事件频繁、攻击手段层出不穷的现状之下,流量加密已经愈加常态化,安全团队面临的考验也随之而来,如何从海量加密流量中检测出恶意流量成为一项不小的挑战 本期话题,我们就围绕如何在加密流量中进行安全威胁检测,就相关问题展开讨论。 目前加密流量越来越多,对于加密流量中的恶意流量检测,大家的应用和部署目前到了什么程度?检测效果如何? A6: 玩一些侧信道吧,也还是有特征可以提取的,就算是能把加密流量分类摘出来,也算是个进步。 A7: 目前加密流量的识别方法有基于有效载荷、基于流量行为、基于机器学习、多种策略混合方法,因为能力或成本问题解不开流量,因此多采用侧信道。 A8: 需要被关注的加密恶意流量特征有几类? HTTPS加密流量中能做到识别用户的操作系统,浏览器,应用,可以基于突发行为和SSL行为做一些特征模型,加密恶意流量特征可以通过解析HTTPS数据包头部信息来获取,因为TLS握手协议在网络中通过明文传输
1.2K20编辑于 2023-03-29 - 来自专栏云计算教程系列
如何使用Spiped在Ubuntu 16.04上加密到Redis的流量
Redis不提供自己的任何加密功能。它的运作假设它已部署到隔离的专用网络,只能由可信方访问。如果您的环境与该假设不匹配,则必须单独将Redis流量包装在加密中。 在本指南中,我们将演示如何使用名为spiped的安全管道程序加密Redis流量。Redis客户端和服务器之间的流量将通过专用加密隧道进行路由,类似于专用SSH隧道。 该Redis的项目目前建议使用spiped加密的流量。 配置简单直观。 每个用途都使用一个新管道。在某些情况下,这可能是一个缺点,但它提供了对访问的精细控制。 -d:解密来自源套接字的流量。这告诉了spiped关于加密的方向,以便它知道解密来自源的流量并加密来自目标的流量。 -s:这定义了源套接字。IP地址必须在方括号中,后跟冒号,然后是端口。 要允许所有流量到端口6379,请键入: sudo ufw allow 6379 这将打开对spiped正在侦听的公共接口上的端口6379的访问。该spiped端口仅接受加密流量。
2.4K00发布于 2018-09-28
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号