网站地址怎么做超链接,WordPress可以做社交网站嘛,wordpress打开置顶文章没用,红安县建设局网站工具介绍
Covenant是一个基于.NET的开源C2服务器#xff0c;可以通过HTTP/HTTPS 控制Covenant agent#xff0c;从而实现对目标的远程控制。Covenant agent在与C2通信时#xff0c;使用base64/AES加密载荷的HTTP隧道构建加密通道。亦可选择使用SSL/TLS标准加密协议#xf…
工具介绍
Covenant是一个基于.NET的开源C2服务器可以通过HTTP/HTTPS 控制Covenant agent从而实现对目标的远程控制。Covenant agent在与C2通信时使用base64/AES加密载荷的HTTP隧道构建加密通道。亦可选择使用SSL/TLS标准加密协议但需自行准备证书此工具并没有CC服务端默认SSL证书。
工具原理分析
工作流程
利用Covenant C2工具进行一次完整建联包含3个阶段流程如下图所示 阶段1
被控制端主动连接控制端并使用GET方法请求默认的url/en-us/index.html、/en-us/docs.html、/en-us/test.html其中之一来判断控制端是否存活。
阶段2
控制端会将特定内容”Hello World”返回给被控制端。
阶段3
当建立连接成功后被控制端会使用POST方法请求默认url/en-us/index.html、/en-us/docs.html、/en-us/test.html其中之一并将受控目标的GUID、Type、HMAC等数据加密发送给控制端。 相关固定配置如下图所示 图1DefaultHttpProfile.yaml配置文件
HTTP流量分析
被控制端与控制端一次完整的上线通信相关流量分析如下
阶段1 图2上线包
木马运行后第一次请求的url是配置文件中默认提供的。
阶段2
上线包中返回体中控制端返回了特定内容Hello World给被控制端特定内容Hello World也是配置文件中默认提供的。
阶段3 图3连接成功
连接成功后被控制端主动将GUID、Type、IV、EncryptedMessage、HMAC一组固定的数据发送给控制端并且数据经过加密后放在POST请求的data字段中url同上线包一样是默认提供的服务端返回的数据同样加密后放到返回包body标签中在第二个Hello World字符串后进行传输。对其进行解密看到传输内容如下图所示 图4解密
上述解密内容中GUID为tokenType为生成木马时在木马样本中定义好的数值当发送第一个POST请求包时Type为0返回包Type为1后续通信该值一直为1Meta无特殊含义值为空IV为AES加密的初始向量EncryptedMessage为AES加密传输的消息HMAC为消息验证码对AES-key与EncryptedMessage进行消息验证确保完整性。
其中AES的密钥AES-key在生成木马时随机产生并硬编码在木马样本中如下图 图5AES-key
加密过程如下图 图6加密过程
心跳包使用的url也是在配置文件DefaultHttpProfile.yaml中定义默认为/en-us/index.html、/en-us/docs.html、/en-us/test.html其中之一心跳时间与抖动时间在创建木马时可自定义设置默认心跳为5秒、抖动时间为10秒与阶段一中上线包区别为心跳包会在Cookie中传递由服务端确定好的GUIDtoken值如下图 图7心跳包
HTTPS流量分析
Covenant C2服务端提供了WEB服务有前端界面方便使用其WEB服务界面如下 图8WEB前端界面
当启动服务端后其WEB服务使用HTTPS协议并且WEB服务使用固定TCP端口7443以及默认证书如下图 图9WEB服务默认端口 图10WEB服务默认证书
生成木马时CC通信方式也可以选择HTTPS加密由于Covenant C2工具不提供agent与C2服务端之间通信的默认SSL证书所以此工具的HTTPS模式需要自行生成并配置证书。
工具检测
虽然此工具的心跳是自定义的但值是固定整数值不能中途更改其工具的心跳存在周期性并且其web服务使用固定服务端口7443以及默认证书可通过证书指纹、机器学习模型以及多流行为检测此工具的HTTPS模式CC通信流量。
根据分析结果我们通过利用行为检测引擎实现了对Covenant C2工具的有效检测。 图11Covenant C2检出结果
总结
利用Covenant C2工具进行CC通信攻击者可以将通信内容加密从而规避传统明文流量设备的检测但是基于人工智能、流行为特征和TLS限定域指纹检测的加密威胁智能检测系统能够检测此类加密通信行为。如今越来越多的攻击者采用加密通信的C2工具以提升攻击的隐蔽性。观成科技安全研究团队持续追踪这些C2工具的最新动态积极研究和更新针对加密流量的检测技术。
