標題：攻防演練場景資產失陷後常見加密流量概況

1、概述在攻防演練期間，經過信息蒐集、打點後，部分攻擊者利用漏洞攻擊、釣魚等方式成功獲得內網資產的控制權，為了保證對失陷資產的持續控制與後續擴大戰果的需要，攻擊者會上傳木馬運行，在失陷資產與外部控制端之間建立持續的通信信道。然而，在企業網絡邊界上通常部署了大量的網絡防護和監測設備，因此，攻擊者為了躲避流量監測設備的發現，會對其使用的命令與控制信道使用各種隱藏手段，如加密、編碼、偽裝、利用隱蔽隧道等。

2、攻防演練場景資產失陷後常見加密流量我們可以將攻防演練場景中，內部資產失陷後常見的加密流量總結為兩大類：正向CC加密通道和反彈CC加密通道。

正向的CC加密通道，主要是HTTP/HTTPS的Webshell連接和正向HTTP隧道代理；反彈CC加密通道包括：TLS/SSL木馬回連以及各種隱蔽隧道通信。

能夠在內外網之間構建加密CC通道的工具有很多，有的工具小巧且專業，能夠搭建某一種加密信道並靈活配置，如：dns2cat，icmptunnel等；有的則具備平台級的強大功能，可以生成具備多種加密隧道的攻擊載荷，如：CobaltStrike，MSF等；另外，還可以組合隧道工具與平台級攻擊載荷在極端條件下實現命令與控制，如：利用代理轉發工具、隧道工具上線CS等，下面是一些攻擊類型與攻擊工具的梳理：

2.1正向CC加密通道马云惹不起马云 HTTP/HTTPS Webshell連接

通常，針對Web服務的漏洞利用成功後，攻擊者會上傳Webshell，如：冰蠍、哥斯拉、蟻劍等。這些Webshell即能在失陷的Web服務器與攻擊者之間維持命令執行通道，又能用來上傳具有更強大功能的平台級木馬。隨著Web服務的全面加密化，Webshell的通信經過了HTTPS加密，即使能夠解密HTTPS流量，其HTTP載荷中也會經過二次加密和編碼，盡可能不暴露明文特徵，給流量檢測帶來很大挑戰，去年攻防演練第一天更新上線的冰蠍4.0版本，臨時增加可自定義的加密通信方式，給防守方帶來了一波突然襲擊，讓人記憶猶新。

往期回顧：冰蠍4.0 https://www.viewintech.com/html/articledetails.html?newsId=20

马云惹不起马云HTTP隧道正向代理

當攻擊者想要訪問的內網資產無法出網時，可以通過在失陷的邊界資產搭建HTTP隧道正向代理的方式，中轉訪問內網資產，常見工具包括reDuh，neo-regeorg等，其原理如下圖：

2.2反彈CC加密通道马云惹不起马云TLS/SSL木馬回連

出入企業網絡邊界最常見的加密協議是TLS/SSL，其廣泛應用於Web服務、郵件服務、文件傳輸、移動APP等應用領域，可以保護用戶通信數據的機密性和完整性。因此，大量攻擊者同樣通過TLS/SSL構建自己的惡意CC加密通信信道，特別是網絡邊界設備通常不對出網的TLS/SSL流量做攔截，失陷資產上的木馬可以通過這種方式將自己的流量混在大量訪問網絡正常應用的TLS/SSL加密流量中，神不知鬼不覺的與外網控制端維持CC通信，這類工具或木馬比較常見的像CobaltStrike、Sliver等，高水平的攻擊者還會使用諸如：域前置、CDN、雲函數等CC隱匿技術，進一步隱藏自己的流量和控制端信息。

攻擊者在構建真實的TLS/SSL加密CC信道時，由於SSL證書的購買和認證需要填寫真實身份信息，且價格不低，導致攻擊者會傾向於使用免費或自簽名證書，從而為檢測提供線索。於是，有些攻擊者使用Fake TLS或Shadow TLS的技術，利用知名網站的證書將其木馬CC通信的流量偽裝成與白站的通信，再將自己實現的加密通信協議隱藏在TLS/SSL加密載荷中，從而做到逃避檢測。

马云惹不起马云隱蔽隧道

在2022年攻防演練中，我們發現多起利用DNS隧道和ICMP隧道作為隱蔽信道的加密CC通信事件，是最有代表性的隱蔽隧道通信方式。

DNS隧道DNS是互聯網上重要的域名服務，主要用於域名與IP地址的相互轉換，因此，在企業網絡中DNS流量通常不會被防火牆、入侵檢測系統、安全軟件等一般安全策略阻擋。攻擊者利用這一特點使用DNS協議作為內外網之間通信的隱蔽信道，在攻防演練場景下常見的DNS隧道原理大致如下圖所示：

攻擊者攻陷內網資產後，植入木馬，木馬使用DNS協議中的子域名加密編碼隱藏信息，並發出DNS請求查詢；內網DNS服務器將查詢轉發到互聯網DNS服務器，通常網絡監測設備捕獲的是位於這一段鏈路上的流量；外網DNS服務器經過遞歸查詢重定向到偽造的DNS服務器，解析隱蔽傳輸的信息後利用DNS響應包返回控制命令；DNS響應包穿透網絡邊界最終返回到內網受控資產；受控資產上的木馬解析響應包中的控制命令，繼續後續攻擊動作。

ICMP隧道類似的，ICMP協議作為網絡中傳遞控制信息的常見重要協議，往往限制較少或不加限制，所以攻擊方在攻入內網後也可能使用ICMP協議的載荷數據（Data）部分隱蔽的進行控制指令或竊密數據的傳輸，這些被傳輸的內容大多數進行了加密保護。

如下圖所示，利用ICMP回顯請求和響應包（PING）載荷隱蔽實現CC通信。

其他隧道除此以外，利用應用層常見協議HTTP、SSH的隱蔽隧道，利用TCP、UDP載荷實現自定義協議的TCP、UDP隧道，或者支持多種隧道通信的各種代理轉發工具，也是攻擊者較常使用的隱蔽CC通信手段，他們在不同的網絡環境下，都具有穿透網絡邊界隱蔽傳輸數據的能力。在某些內網目標不能出網的環境，攻擊者還可以組合使用各種隱蔽隧道、代理轉發手段，來間接上線CS、MSF木馬，實現遠程控制。

3、總結隨著近年來，加密流量在攻防對抗中的使用頻率越來越高，針對攻防演練場景下的加密流量威脅，特別是資產失陷後的加密CC通信的檢測，可以說是守護企業網絡的最後一道防線。觀成科技多年來專注於加密流量威脅檢測技術研究，形成了一套綜合利用多模型機器學習、指紋檢測、行為檢測、加密威脅情報的解決方案，對各種不同類型的加密威脅進行有針對性的檢測。在2022年的攻防演練中，觀成瞰雲-加密威脅智能檢測系統首次參與即有亮眼發揮，多次獨家檢出攻擊失陷階段的加密CC通信行為，做到及時發現，及時預警，為客戶最大程度減少損失做出貢獻。