Day 2 | 最嚣张的10个CS登场,IOC附上

渗透技巧 11个月前 admin
1,350 0 0

Day 2 | 最嚣张的10个CS登场,IOC附上


作为每年演练的当红炸子鸡,rt有多爱CS,bt就有多恨CS。我们通过资产测绘发现,过去几个月有效的CS服务器还真不少:

Day 2 | 最嚣张的10个CS登场,IOC附上

CS马广泛分布在各朵云上(但腾某云你是怎么回事):

Day 2 | 最嚣张的10个CS登场,IOC附上

分布的城市也和本次演练的主战场高度重合:

Day 2 | 最嚣张的10个CS登场,IOC附上

微步通过针对Team Server的通信扫描、请求Beacon staging server获取Beacon的配置信息的扫描和DNS隧道扫描等多达十余种方法对Cobalt Strike进行扫描识别,能够明显弥补单一方式对Cobalt Strike识别的不足,资产测绘数据的识别覆盖领先国内外同行的类似平台,持续不断的为社区和微步客户提供优质的威胁情报数据。

开打第2天,作为rt最喜欢的远控武器,CS相关的告警果不其然快速登顶,我们综合了情报和资产测绘,统计了过去3天全网最为活跃的Top 10的CS域名,情报如下!

service-015bci0f-1251065511.bj.apigw.tencentcs.com

service-2ct860nd-1312989509.sh.apigw.tencentcs.com
service-5dttvfnl-1253933974.sh.apigw.tencentcs.com
service-dxdbo6jr-1311332457.sh.apigw.tencentcs.com
service-k6z1uk8b-1307545782.sh.apigw.tencentcs.com
service-dxkujbtv-1305051246.sh.apigw.tencentcs.com
service-6i8t3bv3-1313041668.bj.apigw.tencentcs.com
service-eph9s167-1309846149.bj.apigw.tencentcs.com
service-baw5g4iz-1309608249.bj.apigw.tencentcs.com
wlanquna.club

此外,我们已经按照ATT&CK模型框架从资源开发、执行、持久化、命令与控制等几个步骤,结合微步X情报社区资产测绘产品组件的识别,梳理了攻防对抗中常用的五种类型工具:资产指纹扫描和漏洞扫描工具、邮件钓鱼平台、自动化渗透测试平台、内外网隧道工具以及用于远程命令行控制工具,以下是常用工具的搜索语法,可转需,可先马后用!


1. 资产扫描和漏洞扫描工具

我们采集到几十款国内外资产扫描工具的指纹,统计近半年数万暴露面资产,现列举几款暴露面最多的工具清单检索语法如下:
产品 搜索语法
Nessus app=Nessus
资产灯塔系统 app=ARL资产灯塔系统
AWVS app=Invicti-AWVS
Greenbone app=Greenbone
Nexpose app=Nexpose-Security-Console
长亭科技XRay app=长亭科技-XRAY
Faraday app=Faraday扫描


2. 网站渗透测试平台

通过对国内十多款网站渗透测试平台的指纹采集,发现这些平台有数万资产暴露在互联网上,现列举几款国内较为常用的平台清单检索语法如下:
产品 搜索语法
资产灯塔系统 app=ARL资产灯塔系统
Daybreak app= daybreak管理平台
Nemo app=Nemo扫描工具 前身为 app=Mars(战神)


3. 隧道透协议或平台

隧道工具是攻防对抗中使用最频繁的,数据量也是最大,我们采集了数十种工具指纹,识别到几十万暴露面资产。现列举几款广泛使用的平台或工具清单检索语法如下:
产品 搜索语法
Frp protocol=frp
Nps app=nps 和 protocol=nps
Gost app=gost
Ngrok protocol=ngrok
Metasploit app=Metasploit 和 procotol=meterpreter
Viper app=viper

4. 钓鱼框架平台

我们针对常用钓鱼平台进行识别,发现十多种钓鱼平台数万暴露面资产,现列举几款常用开源钓鱼平台的清单检索语法如下:
产品 搜索语法
Gophish app=Gophish
Evilginx app=Evilginx
Firephish app=Firephish


5. 远程命令行控制工具

微步X情报社区资产测绘支持所有主流C2工具的识别,包含几十款工具以及十万级别以上的有效资产。现列举最常用几类C2平台或工具的部分清单检索语法如下:
产品 搜索语法
CobaltStrike app=CobaltStrikeBeacon
Viper app=viper
Metasploit app=Metasploit
Brute-Ratel-C4 app=Brute-Ratel-C4-C2
Pupy app=PupyRAT
Quasar app=QuasarRAT

关于X情报社区资产测绘

微步X情报社区资产测绘致力于全网各种情报类型数据的挖掘和分析,同时将大家非常感兴趣的资产组件指纹提取成可进行平台搜索的语法,其兼容其他产品的语法外还包含更多的检索规则如:ICP备案信息、域名的Whois信息、域名DNS解析信息以及网站各种计算Hash值为资产的拓线、各类工具组织的拓线、仿冒/钓鱼的拓线等等提供了非常便利方法,同时结合微步Graph图数据库还可以极大方便用户进行各种场景的数据拓线和数据溯源。
//////


长按二维码或戳文末“阅读原文

体验X社区资产测绘

Day 2 | 最嚣张的10个CS登场,IOC附上



· END ·


Day 2 | 最嚣张的10个CS登场,IOC附上

原文始发于微信公众号(微步在线):Day 2 | 最嚣张的10个CS登场,IOC附上

版权声明:admin 发表于 2023年8月10日 下午11:05。
转载请注明:Day 2 | 最嚣张的10个CS登场,IOC附上 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...