黑客利用域前置技术攻击缅甸政府并隐藏恶意活动
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
思科Talos 的研究人员发现攻击者正在利用合法域名使用域名前置技术隐藏命令和控制流量,攻击缅甸政府。该合法域名是缅甸政府用于路由受攻击者控制服务器通信的域名,攻击者这样做的目的是躲避检测。
研究人员在2021年9月检测到该攻击,攻击者部署 Cobalt Strike payload 作为发动更多攻击的垫脚石,利用和缅甸国有数字化报纸 Digital News 网络相关联的域名作为 Beacons 的前哨。
思科研究人员分析指出,“当启动 Beacon 时,它会向 Cloudflare 基础设施背后托管的合法且具有声誉的域名提交DNS 请求,并修改随后的 HTTPs 请求标头以指导内容交付网络 (CDN) 将流量指向受攻击者控制的主机。
Cobalt Strike 最初在2012年发布,是为了解决流行的 Metasploit 渗透测试和黑客框架中的缺点。它是一款流行的红队软件,供渗透测试人员在网络中模拟威胁行动者的活动。但由于 Cobalt Strike 通过实际发动这些攻击来模拟攻击的方式导致它称为恶意软件操纵者手中的可怕武器,恶意人员将其作为初始访问权限 payload 执行多种利用后活动,包括横向移动和部署各种恶意软件。尽管威胁行动者可以直接花3500美元从厂商网站购买 Cobalt Strike,获得一年的许可证,但也可通过黑客论坛在黑市购买,或者染指破解版的非法版本。
研究人员发现在最近的攻击活动中,执行 Beacon 导致机器向政府所拥有的主机发送初始 DNS 请求,而真正的命令和控制流量被秘密重定向至受攻击者控制的服务器,从而有效地模拟合法流量模式,试图逃避安全解决方案的检测。
研究人员指出,“虽然默认的C2域名时 www[.]mdn[.]gov[.]mm,该 Beacon 的流量被通过该 Beacon 配置中制定的HTTP Get 和 POST 元数据重定向至实际的 C2 test[.]softlemon[.]net中。初始主机的DNS 请求解析到 Cloudflare 拥有的IP 地址,可导致攻击者利用域名前置技术并将流量发送给由 Cloudflare 代理的真正主机 test[.]softlemon[.]net。“然而该C2服务器已不再活跃,它是运行互联网信息服务 (IIS) 的 Windows 服务器。
研究人员表示,“域名前置可通过恶意服务器和目标之间的重定向实现。恶意人员可滥用多种内容交付网络设置向由攻击者控制的C2主机提供的内容的重定向。即使是对于颇具声誉的域名,防御人员也应当监控其网络流量,以便识别出通过 Cobalt Strike 和其它攻击工具执行的潜在域名前置攻击。“
推荐阅读
强大的间谍软件 FinSpy 被指攻击缅甸 iOS 和安卓用户
俄罗斯国家黑客组织 Gamaredon的成员身份和录音曝光(附视频)
俄罗斯国家黑客TA505被指攻击金融机构
APT29网络间谍利用域前置躲避检测
原文链接
https://thehackernews.com/2021/11/hackers-targeting-myanmar-use-domain.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
黑客利用域前置技术攻击缅甸政府并隐藏恶意活动相关推荐
- 模拟攻击者利用“域前置”(Domain Fronting)技术逃避审查(重定向、CDN)
前情提要 今年3月份,FireEye公司曾发表过一篇报道:<APT29 Domain Fronting with TOR>,里边描述了一种攻击者经常使用的逃避审查机制的技术 Domain ...
- 隐藏你的C2(使用域前置技术隐藏C2服务器,以及使用iptables策略来保护服务器)
文章目录 隐藏C2 CDN域前置 CDN 访问流程 配置CDN 效果 隐藏C2 配置CS Profile 上线CS 总结 iptables保护C2 流量转发 修改默认端口 推荐阅读 之前有一篇文章写过 ...
- FBI 连续第三次发布关于国家黑客利用 Kwampirs 发动全球供应链攻击的警告
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 周一,FBI 发布关于国家黑客使用 Kwampirs 恶意软件攻击全球供应链企业和其它行业的警告. 这是 FBI 今年以来发布的第三次 ...
- 黑客利用SSH弱密码攻击控制Linux服务器,潜在目标约十万IP天
一.概述 本周腾讯安全服务中心接到客户求助,客户部署的腾讯御界高级威胁检测系统发现SSH服务失陷感知信息,该公司安全管理人员及时联络腾讯安全专家协助分析威胁来源. 腾讯安全工程师在征得客户同意后对客户 ...
- 一文搞明白域前置(Domain Fronting)技术
目录 前言 一.概述 1.简介 2.简单示例 (1)使用 curl 演示域前置 (2)使用 wget演示域前置 3.影响范围 二.原理 1.挑战与应对 (1)按内容阻塞 (2)按地址阻塞 (3)主动探 ...
- 域前置Cobalt Strike逃避IDS审计
域前置Cobalt Strike逃避IDS审计 域前置简介 域前置(Domain Fronting)基于HTTPS通用规避技术,也被称为域前端网络攻击技术. 这是一种用来隐藏Metasploit.Co ...
- 【红队APT】反朔源隐藏C2项目CDN域前置云函数数据中转DNS转发
文章目录 域前置-CDN隐藏C2真实IP 防止被溯源 什么是域前置 条件 原理 ==完整复现== 域前置溯源 DNS协议-域名记录解析 云函数-腾讯云操作 云函数如何溯源 端口转发-Iptables ...
- 利用反病毒软件开展恶意活动:Dharma勒索软件分析
概述 Dharma勒索软件自2016年以来一直存在,该勒索软件持续瞄准全世界范围内的用户和组织,并已经成功实现了大量感染.在2018年11月,勒索软件感染了位于德克萨斯的一家医院,对医院主机中大量存储 ...
- 美国政府:伊朗黑客利用Log4Shell 漏洞攻陷联邦机构
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 美国FBI和CISA发布联合公告指出,未具名伊朗威胁组织入侵了联邦民事行政部门 (FCEB) 所属一家组织机构并部署了XMRig 挖矿恶意软件. ...
最新文章
- 关于kubesphere metrics-server部署失败的问题
- 廖雪峰Python教程-笔记
- android jni 结构体_Android——- jni返回结构体-Fun言
- springboot项目中使用shiro 自定义过滤器和token的方式___shiro使用token登录流程
- SQLServer奇偶数的输出
- 机器人--寒暄库(4)
- thinkpad10平板 linux,联想ThinkPad 10平板亮相官网 或售8445
- ifen.os x pe.dmg天翼云_3.3K屏显纵览天下 11代酷睿横行职场 华硕灵耀X纵横值得选择...
- Ubuntu20.04如何卸载软件
- 关于python 输出中文
- 总结web压力测试工具
- 年末展望:Oracle 对 JDK收费和.NET Core 给我们的机遇
- 手把手实现AI诗歌生成(AI写诗)
- vs2017 15.5.x dll调试不成功问题
- bat脚本中如何多次键盘输入并判断_万花筒自动发布信息脚本【操作简单】
- MathType 安装到 WPS 的小插曲
- ios系统使用window.open()打开新的页面失效
- ABAP 基础 -SAP GUI 使用指南
- MAVEN专题之五、私服详解
- android asynctask异步处理抓取网页,Android处理异步耗时任务,AsyncTask使用教程
热门文章
- CI中写原生SQL(封装查询)
- 基于windows PE文件的恶意代码分析;使用SystemInternal工具与内核调试器研究windows用户空间与内核空间...
- 夜猫专业黑帽seo优化服务团队
- 如何在程序中嵌入FOP
- 程序员如何从0到1搭建自己的技术博客
- 如何安装与连接MySQL?
- Android中关于Volley的使用(一)加载图片
- sysv-rc-conf管理Ubuntu server开机启动服务
- 【shell编程】1、shell编程简介
- mongoDB Error:not master and slaveOk=false