Cobalt Strike DNS木马流量分析

实验环境

本地环境

CS服务器:公网服务器
靶机:192.168.75.150
攻击机器:192.168.75.1

域名解析配置

Cobalt Strike DNS木马流量分析

CS监听、payload

Cobalt Strike DNS木马流量分析Cobalt Strike DNS木马流量分析

CS上线命令回显

Cobalt Strike DNS木马流量分析

抓取流量

Cobalt Strike DNS木马流量分析

Cobalt Strike DNS木马流量分析

通过分析没有发现cs服务器真实通信ip地址,在捕获的数据包里面发现靶机只会发送DNS请求。

防守思考

通过以上分析,可以从三个方面思考防守。

1、通过威胁情报联动发现恶意的域名,从而发现恶意域名外连主机。

2、在上面捕获到的数据包中可以发现一些规律,请求数据包的域名大多都是随机字母数字加ns域名,这样我们可以写规则去匹配,当内网主机在某段时间请求随机ns域名时就进行告警,但是这样可能误报率较高,可以通过匹配白名单方式降低误报率,将常见的如:baidu.com、qq.com等域名进行加白。

3、如果发现了病毒样本,在进行溯源的时候,可以先将恶意样本放入鉴定器鉴定行为,将请求DNS恶意域名提取。拿本文中实验域名举例,通过分析ns域名为ns1.less****.cn,通过dig +trace ns1.less****.cn可以发现ns1.less****.cn的DNS服务器为cs.less****.cn,cs.less****.cn就是cs的服务器地址。

Cobalt Strike DNS木马流量分析

可以通过ping cs.less****.cn获取cs真实ip地址

Cobalt Strike DNS木马流量分析

相关推荐: 全网弱口令系统一把梭

前言 在一次测试中,偶遇了天融信的防火墙,弱口令测试未果,并且天融信的防火墙一般错误五次后会会锁定登录,所以也不能爆破弱口令,那么现实中这种系统还是很多的,我们可以走量,本篇文章介绍一下利用fofa爬取全网相同系统服务器,然后批量检测默认用户名密码的脚本的编写…

本文为转载文章,源自互联网,由网络整理整理编辑,转载请注明出处:https://www.hacksafe.net/tool/hacktool/5949.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注