灯具网站怎么做新手可以做网站营运吗
2026/4/21 23:48:09
一个域名解析多个网站沈阳网站建设dnglzx
一个域名解析多个网站,沈阳网站建设dnglzx,营销策划网站,seo网站优化多少钱工具介绍
AdaptixC2 是一款设计简洁、灵活且易于定制的命令与控制 (C2) 框架。与复杂且臃肿的大型 C2 平台不同#xff0c;其轻量级设计使得攻击者能够更轻松地在不同环境中部署和调整。该框架采用模块化设计#xff0c;支持C2工具的基本功能#xff0c;例如在受感染的机器…工具介绍AdaptixC2 是一款设计简洁、灵活且易于定制的命令与控制 (C2) 框架。与复杂且臃肿的大型 C2 平台不同其轻量级设计使得攻击者能够更轻松地在不同环境中部署和调整。该框架采用模块化设计支持C2工具的基本功能例如在受感染的机器上运行命令、传输文件、注入进程、设置持久化以及收集系统信息。工作流程分析客户端通过HTTPS协议连接TeamServer而受控端默认使用HTTP协议连接TeamServer也可选择HTTPS。在HTTP通信中传输的载荷数据采用RC4加密且每次建立监听器时都会生成新的RC4密钥。图1 核心工作流程图整个工作流程可以分为三个阶段:1.指令下发阶段攻击者通过客户端向TeamServer发送命令。TeamServer接收指令后执行任务调度与存储管理将指令存入任务队列等待受控端拉取。2.指令执行阶段受控端定期向TeamServer发送心跳请求检查是否有待执行任务。当发现新指令时受控端拉取指令并执行相应操作如文件操作、命令执行或信息收集。3.结果返回阶段受控端完成指令执行后将结果封装为数据包回传给TeamServer。TeamServer接收结果后更新任务状态、存储数据并将结果实时推送给客户端供攻击者在操作界面查看。加密流量分析图2 心跳请求与指令下发和执行3.1 HTTP层面分析当木马使用默认的HTTP协议通信时受控端定期向TeamServer发送心跳请求的过程中不存在载荷指令当攻击者下发的指令由TeamServer转发给受控端后受控端会向TeamServer确认指令内容然后回复指令执行的结果此时存在载荷指令。图3 心跳包与指令包客户端下发的指令由TeamServer发送给受控端指令存在于HTTP响应体data部分受控端检测到指令后会在紧接着的HTTP请求包的请求体部分对指令进行确认确认通过TeamServer会正常发送HTTP响应包之后受控端会在下一个HTTP请求包的请求体部分返回指令执行的结果。在此过程中HTTP响应体data部分的指令、HTTP请求包的请求体部分对指令的确认以及指令执行结果的返回数据都是使用RC4进行加密的。图4 加密前客户端下发的指令及转化图5 指令下发与指令确认图6 指令执行结果HTTP响应包中传输指令数据的默认格式为47字节。当客户端下发指令并由TeamServer转发后受控端会对指令进行确认因此下发指令的HTTP响应包长度等于下一次HTTP请求的数据包长度加上47字节的固定响应体长度。图7 固定响应体长度图8 数据包长度指令数据包长度计算公式为总长度4字节总长4字节task_id4字节进程命令1字节output标志4字节程序状态4字节字符串长度命令字符串长度例如执行shell ipconfig时实际命令被转换为ps run -o C:\Windows\System32\cmd.exe /c ipconfig49字节加上固定头部共61字节。图9 代码依据图10 代码依据代码中规定请求方法为POST/GET请求的uri是/xxx.php,请求头中包含特有的内容X-Beacon-IdUA头部固定为Mozilla/5.0 (Windows NT 6.2; rv:20.0) Gecko/20121202 Firefox/20.0从下图的代码及工具使用截图可以看出图11 代码依据图12 工具运行截图3.2 HTTPS层面分析当选择使用HTTPS协议时木马会在HTTP协议基础上再封装一层TLS进行通信。整体通信逻辑保持不变受控端定期向TeamServer发送心跳请求TeamServer做出相应响应数据包方向分为上行和下行。图13 心跳请求包客户端下发指令由TeamServer转发给受控端受控端对下发的指令进行确认以及回复指令进行的结果与HTTP层面相同涉及三次会话交互第一个会话中下发指令第二个会话中确认指令第三个会话中回复指令执行结果。图14 指令1图15 指令2图16 指令3工具检测观成瞰云-加密威胁智能检测系统通过对提取工具通信中行为特征已经支持对该隐蔽通信通道工具AdaptixC2进行有效检出检测告警见下图。图17检测告警图总结通过对AdaptixC2工具的研究发现虽然该工具使用的通信协议TLS或HTTP隧道发送的指令和数据都是密文但是通过对工具使用行为的分析发现数据包具有一些固定特征和规律即使经过TLS加密后该规律依然存在可以通过这些行为特征对该工具进行识别后续观成科技安全研究团队将持续跟踪这类C2框架并积极研究更新检测手段为客户网络安全保驾护航。