歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

在Microsoft Azure中使用Empire設置域前置

來源:本站整理 作者:佚名 時間:2019-04-01 TAG: 我要投稿

域前置技術曾經風靡一時。至今,紅隊人員和惡意運營商仍然在使用這種技術。最近讀到了兩篇文章,又重新激起了我對域前置的興趣,一篇是digininja寫的比較詳細的博客,還有一篇是推特上的@rvrsh3ll大神寫的文章。
本篇文章沒有什么新的研究和發現,因為網上有太多文章和資源詳細講解了如何對Empire和CobaltStrike設置域前置了。這里我想寫一篇關于在MicroSoft Azure中使用Empire設置域前置的文章,因為目前我在網上好像還沒有看到這方面詳細的設置。我們將會從CDN開始講起,這對于理解域前置技術是尤為關鍵的。
內容分發網絡(CDNs)
CDNs只是一個全球服務器網絡,它根據訪問者的地理位置向訪問者發送網站的內容。CDNs為全球企業提供了多項優勢,如防御DDos攻擊,防止流量激增,有利于做SEO優化,可靠而且實惠。
域前置介紹
從某個層面來說,域前置其實是CDNs的一個特征。它可以用來傳輸C&C流量到原本被出口過濾器阻止的目標源。攻擊者控制的終端域名又只能在建立了加密HTTPS連接之后進行通信。但是攻擊者可以修改host頭,這個很簡單,這樣CDN就可以將看似可信網站流量轉發到他們的C&C服務器了。
技術細節
當大型可信服務提供商使用包含公共HTTPS域和目標HTTPS域的共享SNI證書時,這種技術就應運而生了。當邊緣服務器(如azureedge.net)接收到這種流量時,數據包將被轉發到在數據包主機頭中指定的原始服務器(如darthmalicious.azureedge.net)。然后,原始服務器將會直接轉發流量到一個指定的域,這里我們將指向我們的Empire實例中。在紅隊wiki技術中,我們可以看到這個非常不錯的案例,如下圖:

真實場景使用案例
域名前置通常在審查嚴格的國家被政治活動家用來繞過審查制度。這通常都是通過社交媒體聊天APP完成的,比如Signal和WhatAPP。代理網絡中也會用到域名前置技術,比如Tor瀏覽器。在信息安全領域中,惡意攻擊者和白帽子們都會使用這種技術。AWS的CloudFront通常是域名前置的首選CDN,不過這里我們會使用Microsoft Azure。使用域名前置技術要謹慎,考慮周全,因為它有可能違反服務提供商的條款和條件。
設置Azure
在Azure CDN上進行設置非常簡單直接。僅僅只是需要一點耐心就行。Azure關于CDN的文檔非常詳細完整,還有推特大佬@ch1gg1ns的一篇博客也給了我極大的幫助。我們首先進入Azure portal,然后通過創建新CDN配置文件和CDN終端來啟動CDN服務。在左上角,選擇“Create a resource”。

然后選擇web,選擇CDN。

現在進入到CDN配置文件面板,我們現在可以創建一個CDN資源,并為這個資源創建一個終端。

成功創建之后,我們會接收到下面這個通知。

下面的部分,大家就需要耐心點了。創建CDN和終端之后,我們需要等待差不多90分鐘,這個終端才能在整個CDN中傳播。我們需要更新終端的緩存設置,讓我們的CDN不會像正常的CDN行為那樣來緩存流量。這樣我們就可以用它來作為通信通道。修改你的緩存行為和查詢字符串緩存行為來繞過,這一步到這里就完成了。

在繼續講解之前,我們需要解釋一些事情。
CDN終端名稱將位于HTTP請求中的Empire主機頭通信配置文件中。這個名稱會指向我們的安裝了Empire的C2服務器。你可以讓這個請求更加合法。
源主機名是你的C2服務器的IP地址或者是DNS名稱。它就會將CDN連接到你的資源,然后使域名生效。
在Azure域名中查找可前置的域名
當我們的CDN在傳播時,我們找一個容易記住的域名隱藏起來,這個域名對于我們的CDN也是有效的。這里有一篇關于查找可前置的Azure域名非常不錯的文章。不過,我的方法略有不同,使用的是@rvrsh3ll大佬的查找可前置域名的腳本。這里我們會使用watcocdn1.azureedge.net這個域名。
測試CDN
為了測試我們的CDN通信是否正確設置,我們將使用我們已經正在運行的Empire實例。不管是直接訪問,還是通過我們剛才創建的CDN來訪問,Empire實例的響應應該是一樣的。當通過CDN訪問時,我們需要將主機頭設置為我們之前創建的CDN終端,具體操作如下:
[email protected]:~# curl -k https://[redacted].com
 
 
 
[email protected]:~# curl -k --header "Host: darthmalicious.azureedge.net" "https://watcocdn1.azureedge.net/"
 
設置Empire
這個也是比較簡單的。我們設置監聽主機為Azure前置域名(在這里是watcocdn1.azureedge.net),然后我們在默認配置文件中添加一個自定義頭,指向我們的CDN終端名(比如darthmalicious.azureedge.net),監聽器的配置如下所示:

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.gkrbnd.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        福彩原副主任