Sumap网络测绘探测C&C远控在野情况分析
0x00 网络测绘角度下的C&C威胁分析 在日渐激烈的网络对抗中,伴随***手段的更新换代,远控为了满足需求随之发展,种类繁多,常见的远控有:Cobalt Strike、Metasploit Framework、Empire、PoshC2、Pupy等。 在常见的远控中,Cobalt Strike是熟知的***测试利器,功能十分强大,可扩展性强,从前期载荷生成、诱饵捆绑、钓鱼***到载荷植入目标成功后的持续控制、后***阶段都可以很好支持,几乎覆盖***链的各个阶段。并且支持多种上线方式,以及多种丰富的配置可以达到非常好的隐蔽效果。CS teamserver团队服务器又可以使众多CS客户端连上它,以进行团队协作。Metasploit Framework能够提供众多漏洞利用,这两款远控功能强大且容易上手,因此也是广大redteamer的必备武器。 C&C作为全球范围红队的基础设施,长期部署在世界各个角落,如何通过探测C&C服务器成为了一个问题。传统的流量规则只能对小范围的C2设施进行识别,有一定的局限性。对于全网的资产识别,通过网络测绘来进行扫描识别C2会不会更全面呢? 0x01 网络空间测绘 互联网在高速发展的今天,传统的网络安全大多面向局部安全未曾考虑整体全网环境下的网络安全,这样也造成了近年来***者频繁面向全网展开***