利用CDN、域前置、重定向三种技术隐藏C2的区别

1337163122

​https://mp.weixin.qq.com/s?__biz ... 8a1fcbc183d841c4#rd
利用CDN、域前置、重定向三种技术隐藏C2的区别原创 Shanfenglan7 乌雲安全 2020-10-27
CATALOG
​

1. 前言
   
2. 对于三种隐藏技术的理解
   
3.    CDN技术隐藏C2
   
4.    域前置技术隐藏C2
   
5.    重定向技术隐藏C2
   
6. 三者的区别的总结

复制代码

前言这个课题前段时间已经分别做过研究，但没有写三者的区别分析，以为自己可以将三种技术永远记在心里，但是事实是确实淡忘一部分知识点，导致现在对三者的理解出现偏差。

反思：以后倘若需要做技术记录，一定要详细详细再详细，有备无患。不能抱有侥幸心理，因为你永远不知道，问题与遗忘哪一个会先来
对于三种隐藏技术的理解CDN技术隐藏C2

1. 反溯源-cs和msf域名上线
   
2. https://xz.aliyun.com/t/5728

复制代码

1. 利用CDN隐藏C2地址
   
2. https://www.cnblogs.com/websecyw/p/11239733.html

复制代码

1. 使用CDN隐藏c2流量
   
2. 
   
3. http://blog.sern.site:8000/2020/08/03/%E4%BD%BF%E7%94%A8CDN%E9%9A%90%E8%97%8Fc2%E6%B5%81%E9%87%8F/

复制代码

1. 原理：让cdn转发合法的http或者https流量来达到隐藏的目的。

复制代码

这些文章写的很详细，总结一下流程：

• 配置了cdn
  
• 拥有一个公网域名
  
• 配置cdn的A记录解析使其能解析到C2的ip
  
• 将公网域名填写到cs listener的host处并填写可用的端口
  
  

1. 可达到的效果：受害主机上只会有跟cdn的ip通信的流量，不会有跟真实C2通信的流量，可以保护C2的ip，但是域名还是会暴露。
   
2. 
   
3. 技术实现重点：
   
4. 
   
5. 一个不备案的域名，否则这个方式毫无用处
   
6. 
   
7. 这种技术对http与https没有强制要求，都可以使用，而域前置技术要求是https

复制代码

域前置技术隐藏C2

1. 域前置技术的原理与CS上的实现
   
2. https://blog.csdn.net/qq_41874930/article/details/107742843

复制代码

这篇我写的文章里面有具体的操作步骤，下面主要说说自己的理解。
域前置技术跟CDN技术比较类似，都是会用到CDN，但域前置技术必须要用https，因为它是基于TLS协议的，域前置还有一个特点是需要修改请求包的host头，修改方法是修改malleable profile文件，我的这篇

1. malleable_profile文件配置概述
   
2. https://shanfenglan.blog.csdn.net/article/details/107791606

复制代码

写了修改方法，而CDN是创建好CDN后直接就可以使用的，不用做过多的配置不过效果也有不同，CDN技术只能用自己的域名，如果自己域名被放进黑名单基本就凉凉，但是域前置技术可以使用别人的高信誉域名来隐藏自己的真实域名，例如用微软的域名伪装自己，当然前提是微软的域名得跟你的域名再同一个CDN下，这种技术现在在不少的CDN厂商下都被禁止了，不一定会利用成功。

1. 原理：同一个cdn厂商下倘若有两个域名a.com，b.com，这时候我们使用curl命令访问第一个a.com并将host名改为b.com这时候，实际访问的是b.com的内容。而一般的监测机制是不会检测host头的。

复制代码

1. 可达到的效果：通过一个高信任域名隐藏自己的真实域名与ip，且受害主机上的流量只有跟cdn通信的，不会有跟真实c2的。
   
2. 
   
3. 技术实现重点：
   
4. 
   
5. 需要基于https
   
6. 
   
7. 需要知道cdn上的其他高信誉域名或者ip
   
8. 
   
9. 需要修改malleable profile文件

复制代码

重定向技术隐藏C2

1. 利用apache mod_rewrite模块实现重定向技术来隐藏CS的teamserver的原理与实现
   
2. https://shanfenglan.blog.csdn.net/article/details/107789018

复制代码

我的这篇文章写了原理与操作，同样的这次我主要说说我对这种技术的理解。

这种技术有点像乞丐版的CDN或者域前置技术。总的来说就是得有两台vps，一台做重定向，一台是真正的C2，而受害者只与那台做重定向的机器通信，重定向机器只会转发来自beacon的特定流量到C2控制端主机，对于其他流量可以自定义设置处理方法，一般是采用重定向到一些高信誉域名上例如百度等。
可达到的效果：受害者上只会有与重定向机器之间的流量，不会有与真实c2服务器的流量，重定向服务器会将非beacon的请求重定向到一些高信誉域名上，达到迷惑的目的，不过如果受害者ban掉了重定向机器的ip，对攻击者的损失也是很大的。
技术实现重点：

• 两台服务器
  
• 配置apache_rewrite
  
• 配置malleable profile文件
  
  

三者的区别的总结从成本上来说，cdn技术与域前置技术都需要配置cdn，而重定向技术需要两台服务器，总的来说成本基本差不多。

从技术上来说：

• cdn技术仅仅利用了cdn对http与https流量进行转发来达到的隐匿效果，可以隐藏ip不能隐藏域名。
  
• 域前置技术高级一些，但是却基于https的，可以隐藏ip与域名，效果我认为是最好的，只是因为现在不少的cdn厂商已经禁止了域前置技术的存在，想用的话得自己去找还依旧允许域前置技术的厂商。
  
• 重定向技术对运维人员迷惑效果还是不错的，但对于很专业的运维人员可能效果就没有那么好，而且配置也是最复杂的，如果被发现ban了自己的重定向机器，对于攻击队来说损失也不小，总的来说还是没有cdn的方法好用。
  
  

---

原创作者：Shanfenglan7

作者介绍：一个刚步入安全行业的人，乐意分享技术，乐意接受批评，乐意交流。希望自己能把抽象的技术用尽量具体的语言讲出来，让每个人都能看懂，并觉得简单。最后希望大家可以关注我的博客：shanfenglan.blog.csdn.net。