作为每年演练的当红炸子鸡,rt有多爱CS,bt就有多恨CS。我们通过资产测绘发现,过去几个月有效的CS服务器还真不少:
微步通过针对Team Server的通信扫描、请求Beacon staging server获取Beacon的配置信息的扫描和DNS隧道扫描等多达十余种方法对Cobalt Strike进行扫描识别,能够明显弥补单一方式对Cobalt Strike识别的不足,资产测绘数据的识别覆盖***国内外同行的类似平台,持续不断的为社区和微步客户提供***的威胁情报数据。
开打第2天,作为rt最喜欢的远控武器,CS相关的告警果不其然快速登顶,我们综合了情报和资产测绘,统计了过去3天全网最为活跃的Top 10的CS域名,情报如下!
此外,我们已经按照ATT&CK模型框架从资源开发、执行、持久化、命令与控制等几个步骤,结合微步X情报社区资产测绘产品组件的识别,梳理了攻防对抗中常用的五种类型工具:资产指纹扫描和漏洞扫描工具、邮件钓鱼平台、自动化渗透测试平台、内外网隧道工具以及用于远程命令行控制工具,以下是常用工具的搜索语法,可转需,可先马后用!
1. 资产扫描和漏洞扫描工具
| 产品 | 搜索语法 |
| Nessus | app=Nessus |
| 资产灯塔系统 | app=ARL资产灯塔系统 |
| AWVS | app=Invicti-AWVS |
| Greenbone | app=Greenbone |
| Nexpose | app=Nexpose-Security-Console |
| 长亭科技XRay | app=长亭科技-XRAY |
| Faraday | app=Faraday扫描 |
2. 网站渗透测试平台
| 产品 | 搜索语法 |
| 资产灯塔系统 | app=ARL资产灯塔系统 |
| Daybreak | app= daybreak管理平台 |
| Nemo | app=Nemo扫描工具 前身为 app=Mars(战神) |
3. 隧道透协议或平台
| 产品 | 搜索语法 |
| Frp | protocol=frp |
| Nps | app=nps 和 protocol=nps |
| Gost | app=gost |
| Ngrok | protocol=ngrok |
| Metasploit | app=Metasploit 和 procotol=meterpreter |
| Viper | app=viper |
4. 钓鱼框架平台
| 产品 | 搜索语法 |
| Gophish | app=Gophish |
| Evilginx | app=Evilginx |
| Firephish | app=Firephish |
5. 远程命令行控制工具
| 产品 | 搜索语法 |
| CobaltStrike | app=CobaltStrikeBeacon |
| Viper | app=viper |
| Metasploit | app=Metasploit |
| Brute-Ratel-C4 | app=Brute-Ratel-C4-C2 |
| Pupy | app=PupyRAT |
| Quasar | app=QuasarRAT |
网络流量检测的威胁感知平台TDP、主机威胁检测与响应平台OneEDR、互联网安全接入服务OneDNS、安全情报网关OneSIG、终端安全管理平台OneSEC,以及威胁情报管理平台TIP等产品,能够全面提升威胁检测与防护的“精准能力”。
微步也具备***的技术专家团队提供专业安全服务。涵盖红队评估、攻防演练、溯源分析、攻击面梳理、渗透测试、应急响应、托管检测与响应等6大安全服务类别,14大安全服务项。
成都科汇科技有限公司( 微步在线 专注 威胁情报 四川经销商 )
地址:四川省成都市武侯区人民南路四段一号时代数码大厦18楼A5
电话咨询热线:400-028-1235
QQ咨询热线: 1325383361
24小时咨询热线:180 8195 0517(微信同号)