【防溯源】如何通过域名 + CDN 完美隐藏你的 C2

【防溯源】如何通过域名 + CDN 完美隐藏你的 C2,第1张

文章来 源: 渗透攻击红队

C2 隐藏

对于一个攻击者来说,被防守方发现是一件很可耻的事情,更别说被溯源到了个人信息。本篇文章主要写如何隐藏 C2,我这里用 CobaltStrike 来做演示,这种方式是利用成本最少最高效的,毕竟能白嫖域名和CDN,这种方式还能够避免被一些威胁情报平台溯源到真实的 VPS IP,打 hvv 够用了。

域名 + CDN = 隐藏 CobaltStrike Server

前期准备

首先需要去 freenom.com 注册一个域名,在注册的时候需要挂美国的代理,而且个人账号信息也需要填写为美国的信息!

具体参考这篇文章:https://mp.weixin.qq.com/s/4LDpKKMuOHNSPxWrkv3tFA

注册完成后就可以看到注册的域名了:

之后在 cloudflare.com 注册一个账号,然后添加一个域名,就是刚刚组册的域名,然后选择最下面的:

然后来到 DNS 处,找到该 CDN 的 DNS:    

填入到 freenom:

之后来到 Cloudflare 缓存处开启一下,这样访问免费域名就不会出现访问延迟等情况:

最后添加一个解析 A 记录到自己的 VPS,名称就是域名、内容就是 VPS 的 IP 地址:

添加完成后就可以 ping 域名看看是否配置成功:

超级 Ping 发现 CDN 也配置完毕,没有 VPS 的真实 IP:   

上线到  CobaltStrike 成功隐藏 IP

之后我们来到 VPS Server,启动一下 teamserver,客户端连接 C2:

在这之后新建一个监听器为 http 的,然后 Hosts 和 Beacons 都设置为域名:

注意 http port 端口只能设置成以下几个:

80,8080,8880,2052,2082,2086,2095

如果是 https 的监听端口只能设置成以下几个:

443,2053,2083,2087,2096,8443

因为这是 Cloudflare 仅支持的端口,所以没办法把监听器设置成其他端口。

最后生成一个 exe 上线看看:

最后分析网络连接发现连接的 IP 已经是 CDN 的 IP 地址:

通过微步在线沙箱分析发现成功隐藏了 C2 的真实 IP:

这种方式能够在一定程度上防止被 BT 溯源到真实的 IP 地址,即使溯源到了真实的 VPS 的 IP,毕竟是匿名的 VPS ,除非反制拿到了 ROOT,否则也是无济于事。

源站ip是你购买服务器的时候服务商就给你的ip了

如果你使用了cdn,源站ip会被隐藏,是不能找出来的。

如果你觉得cloudflare的cdn加速效果不明显,可以换加速乐cdn。

一、如何禁止访问,先了解下常见的3种网站访问模式:

①、用户直接访问对外服务的普通网站

浏览器 -->DNS解析 -->WEB数据处理 -->数据吐到浏览器渲染展示

②、用户访问使用了CDN的网站

浏览器 -->DNS解析 -->CDN节点 -->WEB数据处理 -->数据吐到浏览器渲染展示

③、用户通过代理上网访问了我们的网站

浏览器 -->代理上网 -->DNS解析 -->上述2种模式均可能

二、对于第一种模式,要禁止这个用户的访问很简单,可以直接通过 iptables 或者 Nginx的deny指令来禁止均可:

iptabels:

iptables -I INPUT -s 用户ip -j DROP

Nginx的deny指令:

语    法:     deny address | CIDR | unix: | all

默认值:     —

配置段:     http, server, location, limit_except

顺   序:从上往下

Demo:

location / {

deny 用户IP或IP段

}

但对于后面2种模式就无能为力了,因为iptables 和 deny 都只能针对直连IP,而后面2种模式中,WEB服务器直连IP是CDN节点或者代理服务器,此时使用 iptable 或 deny 就只能把 CDN节点 或代理IP给封了,可能误杀一大片正常用户了,而真正的罪魁祸首轻轻松松换一个代理IP又能继续请求了。

三、拿到用户真实IP,只要在Nginx的http模块内加入如下配置:

那么,$clientRealIP 就是用户真实IP了,其实就是匹配了 $http_x_forwarded_for 的第一个值。

【1】其实,当一个 CDN 或者透明代理服务器把用户的请求转到后面服务器的时候,这个 CDN 服务器会在 Http 的头中加入一个记录X-Forwarded-For :  用户IP, 代理服务器IP如果中间经历了不止一个代理服务器,这个记录会是这样X-Forwarded-For :  用户IP, 代理服务器1-IP, 代理服务器2-IP, 代理服务器3-IP, ….可以看到经过好多层代理之后, 用户的真实IP 在第一个位置, 后面会跟一串中间代理服务器的IP地址,从这里取到用户真实的IP地址,针对这个 IP 地址做限制就可以了。

【2】而且代码中还配合使用了 $remote_addr,因此$clientRealIP 还能兼容上文中第①种直接访问模式,不像 $http_x_forwarded_for 在直接访问模式中将会是空值!所以,$clientRealIP 还能配置到 Nginx 日志格式中,替代传统的 $remote_addr 使用。


欢迎分享,转载请注明来源:夏雨云

原文地址:https://www.xiayuyun.com/zonghe/53194.html

(0)
打赏 微信扫一扫微信扫一扫 支付宝扫一扫支付宝扫一扫
上一篇 2023-02-25
下一篇2023-02-25

发表评论

登录后才能评论

评论列表(0条)

    保存