微步在线 Day 2 | 嚣张的10个CS登场,IOC附上

作为每年演练的当红炸子鸡,rt有多爱CS,bt就有多恨CS。我们通过资产测绘发现,过去几个月有效的CS服务器还真不少:

CS马广泛分布在各朵云上(但腾某云你是怎么回事):

分布的城市也和本次演练的主战场高度重合:

微步通过针对Team Server的通信扫描、请求Beacon staging server获取Beacon的配置信息的扫描和DNS隧道扫描等多达十余种方法对Cobalt Strike进行扫描识别,能够明显弥补单一方式对Cobalt Strike识别的不足,资产测绘数据的识别覆盖***国内外同行的类似平台,持续不断的为社区和微步客户提供***的威胁情报数据。

开打第2天,作为rt最喜欢的远控武器,CS相关的告警果不其然快速登顶,我们综合了情报和资产测绘,统计了过去3天全网最为活跃的Top 10的CS域名,情报如下!

service-015bci0f-1251065511.bj.apigw.tencentcs.com

service-2ct860nd-1312989509.sh.apigw.tencentcs.com
service-5dttvfnl-1253933974.sh.apigw.tencentcs.com
service-dxdbo6jr-1311332457.sh.apigw.tencentcs.com
service-k6z1uk8b-1307545782.sh.apigw.tencentcs.com
service-dxkujbtv-1305051246.sh.apigw.tencentcs.com
service-6i8t3bv3-1313041668.bj.apigw.tencentcs.com
service-eph9s167-1309846149.bj.apigw.tencentcs.com
service-baw5g4iz-1309608249.bj.apigw.tencentcs.com
pay.unionpaysec.com

此外,我们已经按照ATT&CK模型框架从资源开发、执行、持久化、命令与控制等几个步骤,结合微步X情报社区资产测绘产品组件的识别,梳理了攻防对抗中常用的五种类型工具:资产指纹扫描和漏洞扫描工具、邮件钓鱼平台、自动化渗透测试平台、内外网隧道工具以及用于远程命令行控制工具,以下是常用工具的搜索语法,可转需,可先马后用!

1. 资产扫描和漏洞扫描工具

我们采集到几十款国内外资产扫描工具的指纹,统计近半年数万暴露面资产,现列举几款暴露面最多的工具清单检索语法如下:
产品 搜索语法
Nessus app=Nessus
资产灯塔系统 app=ARL资产灯塔系统
AWVS app=Invicti-AWVS
Greenbone app=Greenbone
Nexpose app=Nexpose-Security-Console
长亭科技XRay app=长亭科技-XRAY
Faraday app=Faraday扫描

2. 网站渗透测试平台

通过对国内十多款网站渗透测试平台的指纹采集,发现这些平台有数万资产暴露在互联网上,现列举几款国内较为常用的平台清单检索语法如下:
产品 搜索语法
资产灯塔系统 app=ARL资产灯塔系统
Daybreak app= daybreak管理平台
Nemo app=Nemo扫描工具 前身为 app=Mars(战神)

3. 隧道透协议或平台

隧道工具是攻防对抗中使用最频繁的,数据量也是***,我们采集了数十种工具指纹,识别到几十万暴露面资产。现列举几款广泛使用的平台或工具清单检索语法如下:
产品 搜索语法
Frp protocol=frp
Nps app=nps 和 protocol=nps
Gost app=gost
Ngrok protocol=ngrok
Metasploit app=Metasploit 和 procotol=meterpreter
Viper app=viper

4. 钓鱼框架平台

我们针对常用钓鱼平台进行识别,发现十多种钓鱼平台数万暴露面资产,现列举几款常用开源钓鱼平台的清单检索语法如下:
产品 搜索语法
Gophish app=Gophish
Evilginx app=Evilginx
Firephish app=Firephish

5. 远程命令行控制工具

微步X情报社区资产测绘支持所有主流C2工具的识别,包含几十款工具以及十万级别以上的有效资产。现列举最常用几类C2平台或工具的部分清单检索语法如下:
产品 搜索语法
CobaltStrike app=CobaltStrikeBeacon
Viper app=viper
Metasploit app=Metasploit
Brute-Ratel-C4 app=Brute-Ratel-C4-C2
Pupy app=PupyRAT
Quasar app=QuasarRAT
关于X情报社区资产测绘

微步X情报社区资产测绘致力于全网各种情报类型数据的挖掘和分析,同时将大家***感兴趣的资产组件指纹提取成可进行平台搜索的语法,其兼容其他产品的语法外还包含更多的检索规则如:ICP备案信息、域名的Whois信息、域名DNS解析信息以及网站各种计算Hash值为资产的拓线、各类工具组织的拓线、仿冒/钓鱼的拓线等等提供了***便利方法,同时结合微步Graph图数据库还可以***大方便用户进行各种场景的数据拓线和数据溯源。
网络流量检测的威胁感知平台TDP、主机威胁检测与响应平台OneEDR、互联网安全接入服务OneDNS、安全情报网关OneSIG、终端安全管理平台OneSEC,以及威胁情报管理平台TIP等产品,能够全面提升威胁检测与防护的“精准能力”。
微步也具备***的技术专家团队提供专业安全服务。涵盖红队评估、攻防演练、溯源分析、攻击面梳理、渗透测试、应急响应、托管检测与响应等6大安全服务类别,14大安全服务项。
成都科汇科技有限公司( 微步在线 专注 威胁情报 四川经销商 )
地址:四川省成都市武侯区人民南路四段一号时代数码大厦18楼A5
电话咨询热线:400-028-1235
QQ咨询热线: 1325383361
24小时咨询热线:180 8195 0517(微信同号)

相关文章

返回顶部