【防溯源】如何通过域名 + CDN 完美隐藏你的 C2

【防溯源】如何通过域名 + CDN 完美隐藏你的 C2,第1张

文章来 源: 渗透攻击红队

C2 隐藏

对于一个攻击者来说,被防守方发现是一件很可耻的事情,更别说被溯源到了个人信息。本篇文章主要写如何隐藏 C2,我这里用 CobaltStrike 来做演示,这种方式是利用成本最少最高效的,毕竟能白嫖域名和CDN,这种方式还能够避免被一些威胁情报平台溯源到真实的 VPS IP,打 hvv 够用了。

域名 + CDN = 隐藏 CobaltStrike Server

前期准备

首先需要去 freenom.com 注册一个域名,在注册的时候需要挂美国的代理,而且个人账号信息也需要填写为美国的信息!

具体参考这篇文章:https://mp.weixin.qq.com/s/4LDpKKMuOHNSPxWrkv3tFA

注册完成后就可以看到注册的域名了:

之后在 cloudflare.com 注册一个账号,然后添加一个域名,就是刚刚组册的域名,然后选择最下面的:

然后来到 DNS 处,找到该 CDN 的 DNS:    

填入到 freenom:

之后来到 Cloudflare 缓存处开启一下,这样访问免费域名就不会出现访问延迟等情况:

最后添加一个解析 A 记录到自己的 VPS,名称就是域名、内容就是 VPS 的 IP 地址:

添加完成后就可以 ping 域名看看是否配置成功:

超级 Ping 发现 CDN 也配置完毕,没有 VPS 的真实 IP:   

上线到  CobaltStrike 成功隐藏 IP

之后我们来到 VPS Server,启动一下 teamserver,客户端连接 C2:

在这之后新建一个监听器为 http 的,然后 Hosts 和 Beacons 都设置为域名:

注意 http port 端口只能设置成以下几个:

80,8080,8880,2052,2082,2086,2095

如果是 https 的监听端口只能设置成以下几个:

443,2053,2083,2087,2096,8443

因为这是 Cloudflare 仅支持的端口,所以没办法把监听器设置成其他端口。

最后生成一个 exe 上线看看:

最后分析网络连接发现连接的 IP 已经是 CDN 的 IP 地址:

通过微步在线沙箱分析发现成功隐藏了 C2 的真实 IP:

这种方式能够在一定程度上防止被 BT 溯源到真实的 IP 地址,即使溯源到了真实的 VPS 的 IP,毕竟是匿名的 VPS ,除非反制拿到了 ROOT,否则也是无济于事。

CDN的基本原理是广泛采用各种缓存服务器,将这些缓存服务器分布到用户访问相对集中的地区或网络中,在用户访问网站时,利用全局负载技术将用户的访问指向距离最近的工作正常的缓存服务器上,由缓存服务器直接响应用户请求。显示 的ip是缓存服务器的IP地址,而不是你的云服务器地址。

给服务器加cdn的方法如下:

在现有的服务器的基础上,域名解析使用带有CDN的IP,在服务器上的子域名以及部署使用的域名都换成带有CDN的IP,所有用户的访问流量将会通过CDN节点的形式进行访问转发。通过不使用真实IP的形式,将源站隐藏起来。

设置CDN解析启动加速服务,我们在设置完毕之后就可以在我们域名解析面板解析到CDN服务器的IP地址。这里老蒋还是使用的DNSPOD第三方DNS服务,然后A记录解析到CDN服务器的IP就ok。

当然也可以添加搜索引擎的线路类型,指向真实的IP这样可以起到真实IP搜索索引作用。等待生效完毕,我们可以PING测试看看,看到的网站访问IP解析地址就是我们CDN服务器的IP,而不是我们实际的网站IP。

服务器做cdn防御

1、源站隐藏

ddos攻击主要是针对服务器发送请求,然后消耗服务器资源,如果源站都无法找到,攻击方也就没办法进行攻击。CDN高防通过将域名解析至我们提供的解析记录值上,有效隐藏源站服务器IP,遇到DDoS、CC攻击时,攻击也将被转移,所以源站服务器是安全的。

2、智能调度

CDN的核心其实不光是节点、缓存,更重要的是智能调度,也就是说,真的发生攻击时,当一个节点压力过大,CDN的负载均衡系统,就会自动进行分流,来化解流量的暴增问题。


欢迎分享,转载请注明来源:夏雨云

原文地址:https://www.xiayuyun.com/zonghe/512615.html

(0)
打赏 微信扫一扫微信扫一扫 支付宝扫一扫支付宝扫一扫
上一篇 2023-06-19
下一篇2023-06-19

发表评论

登录后才能评论

评论列表(0条)

    保存