- 博客(70)
- 收藏
- 关注
原创 观成科技:基于深度学习技术的webshell文件检测方案
本文提出一种基于深度学习的WebShell检测方案,通过2-gram词袋模型将PHP文件转化为3906维特征向量,结合多层感知机(MLP)进行分类。实验使用1.1万个训练样本(含1千个WebShell),测试集结果显示准确率达94.6%、召回率92%,优于传统检测方法(准确率90.3%、召回率83%)。该方案有效克服了静态检测漏报、动态检测范围窄等传统局限,利用文本处理优势显著提升检测性能。研究团队将持续优化模型以提高检测精度。
2025-07-22 10:53:43
271
原创 观成科技:基于自监督学习技术的恶意加密流量检测方案
针对传统机器学习算法检测恶意加密流量能力有限的问题,引入视觉领域的MoCo模型,采用对比学习的思路进行流量自监督学习方法,收集大量的无标记数据进行训练,而后仅采用少量恶意流量进行模型微调达到检测效果。
2025-07-10 11:50:05
622
原创 观成科技:银狐新木马加密通信分析
摘要:"银狐"木马近期升级通信加密方式,采用AES-256-GCM算法增强隐蔽性。该木马攻击分两阶段:下载阶段维持原有TCP协议和异或加密;远控阶段升级为带认证标签的高级加密模式,有效保障通信机密性和完整性。研究显示黑产团伙持续优化流量隐藏技术,增加了检测难度。观成安全通过多维度检测方案实现对新型加密威胁的有效识别。
2025-06-25 12:01:49
435
原创 观成科技:隐蔽隧道工具Ligolo-ng加密流量分析
通过对Ligolo-ng工具的研究发现,虽然该工具能利用反向TCP/TLS连接,使用自动生成的证书建立一条隐蔽的加密通信信道,但是通过对其通信过程的分析发现,数据包具有心跳时间、心跳方向以及心跳包长度等特征,可以通过检测这些行为特征对该工具加密流量进行识别。工具使用了go语言的yamux库进行通信,客户端和服务端之间的通信为TLS长连接,由于yamux库有可以使用双向流的特性,所以在完成TLS握手以后通信的两端会各自维护一组心跳行为,以此达到高实时性与高性能的效果。
2025-06-10 16:32:23
793
原创 【观成科技】Ymir勒索软件组织窃密木马RustyStealer加密通信分析
Ymir勒索软件利用RustyStealer窃密木马获取企业凭证,采用多阶段加密技术增强隐蔽性。该木马通过RC4算法加密系统信息,随机选择URI路径通信躲避检测。分析显示,勒索攻击前存在横向移动等前置行为,早期检测加密通信可有效拦截威胁。样本检测哈希为7c00152cc68f,C&C服务器为74.50.84.181:443。安全产品观成瞰云已实现对该威胁的有效识别。
2025-05-27 16:24:14
1040
原创 观成科技:加密C2框架Vshell流量分析
Vshell是一款专为红队设计的网络工具,支持多种协议如TCP、UDP、KCP、WebSocket等,具备文件管理、隧道代理等核心功能,适用于模拟网络攻击和测试防御系统。该工具通过加密通信和双向认证提高隐蔽性,服务端和客户端通过特定协议进行数据交换,如TCP协议中的系统信息传输和WebSocket协议中的动态参数配置。尽管Vshell的加密通信增加了检测难度,但通过特征匹配和行为规则分析,仍可有效识别其通信流量。随着加密通信工具的使用增加,安全研究团队持续更新检测技术以应对这些隐蔽的网络威胁。
2025-05-14 15:21:19
1053
原创 观成科技:摩诃草组织Spyder下载器流量特征分析
三、流量特征一、概述自2023年以来,摩诃草组织频繁使用Spyder下载器下载远控木马,例如Remcos。观成安全研究团队对近几年的Spyder样本进行了深入研究,发现不同版本的样本在数据加密、流量模式等方面存在差异。基于此,我们对多个版本样本的通信特征进行了对比分析,其中版本的界定主要是通过数据中的字段(如ver或about)来确定,早期样本未明确版本标识,而后期版本通过这些字段明确显示版本信息。具体特征总结如下:①各版本样本均使用HTTP协议,80端口进行通信,心跳包使用POST请求方式。
2025-04-24 17:30:04
1044
原创 观成科技:利用DoH加密信道的C2流量分析
木马上线后,如果没有指令下发,受害主机会一直向外发送DNS请求,域名前缀为长度为8的加密字符(每次上线时,长度会发生变化),查询类型为A查询,该查询数据中,不包含主机信息,C2接收到该心跳后,响应结果为0.0.0.0,如果有任务需要执行,会响应0.0.0.242或0.0.0.243,受害主机收到0.0.0.243响应后,会发送以api为前缀,查询类型为A的域名查询,C2服务器会返回以0.0.0开头的ip标识任务类型,之后会再发起一个以api为前缀,查询类型为txt的域名查询,来获取任务。
2025-04-08 14:24:46
869
原创 观成科技:海莲花利用MST投递远控木马
海莲花”,又名“OceanLotus”,该APT组织是长期针对中国境内,且攻击活动十分活跃的组织。近期发现该组织使用了MSI文件滥用的新手法,将远程控制木马植入MST文件来修改MSI文件安装时的执行流程,在安装期间运行恶意代码。本文将展示该恶意木马的加载执行流程,并分析其加密通信过程。此次攻击活动中,海莲花组织使用TLS协议作为通信协议。通信的载荷数据采用了XOR加密,加密使用了动态密钥,密钥随流量传输。
2025-03-25 14:59:23
892
原创 观成科技:加密C2框架Platypus流量分析
在实际的渗透测试中,为了解决 Netcat/Socat 等工具在文件传输、多会话管理方面的不足,该工具在多会话管理的基础上增加了在渗透测试中能更好发挥作用的功能(如:交互式 Shell、文件操作、隧道等),并且使用 TLS/SSL 协议进行通信,它可以利用证书和密钥对通信进行加密,确保数据传输的隐蔽性。通过观察TCP模式的通信数据可以辅助分析TLS模式下的行为特征:TCP明文流量中交互式shell发送的命令是逐字节发送的,且每次发送单字节内容后,服务端会返回同样的内容,依次交替直到完成一个命令。
2025-03-13 14:45:06
707
原创 观成科技:海莲花“PerfSpyRAT”木马加密通信分析
该样本通过TLS协议与C&C服务器进行通信,通信数据采用LZMA与AES加密。木马的载荷数据采用LZMA压缩和AES加密,且加密采用动态AES密钥,密钥随流量传输。TLS通信流量解密后为HTTP协议,通信载荷仍然是加密内容,加密使用了LZMA压缩+AES_CBC_256加密,AES加密密钥每次随着流量传输,IV为16个0,HTTP载荷包含“加密数据+AES密钥+随机数据+AES密钥偏移数据”,AES密钥偏移与最后一字节值相关,具体计算公式为:偏移=载荷总长度-0x28-1-载荷最后一字节的值。
2025-02-25 15:21:27
773
原创 观成科技:伪猎者(APT-C-60)APT组织加密通信分析
尽管这些攻击组织在免杀能力上相对较弱[2],但通过精密的阶段性攻击和有效的伪装策略,它们依然能够成功渗透并控制目标网络,获取最终的敏感信息或数据。观成科技安全研究团队将继续追踪和分析东北亚方向APT组织使用的开源和自研木马,并不断优化检测方法,以适应东北亚方向APT组织变化的加密通信方式,进一步守护加密网络空间的安全。这些攻击中使用了多种攻击武器,包括开源工具和自研恶意软件。该组织在实施攻击时,常使用LNK下载者进行恶意载荷的分发,且载荷的解密机制在过去两年内保持一致,展现出其高效且稳定的攻击模式。
2024-12-31 15:21:38
1197
原创 观成科技:寄生虫(APT-C-68)APT组织加密通信分析
2024年,该组织利用MSF木马攻击了我国某高校。Metasploit(MSF)是一个开源的渗透测试框架,包含多个核心组件,如Exploit(攻击模块)、Payload(载荷模块)、Auxiliary(辅助模块)和Encoder(编码器),这些组件分别负责漏洞利用、执行攻击代码、信息收集和混淆攻击代码以规避检测。寄生虫魔改版MSF木马在与C&C服务器通信时,采用了TLS协议进行数据传输,并使用XOR算法对通信数据进行加密,其中密钥为数据的前4个字节,下图中密钥为“2b ac ca e3”。
2024-12-02 15:38:16
1548
原创 观成科技:Vagent注入的内存马加密通信特征分析
vagent是一个使用Java语言开发的内存马注入工具。攻击者在利用vagent注入内存马之后可以利用别的代理工具或是webshell工具连接内存马进行通信。vagent对部分工具的内存马做了一些简单的魔改以达到绕过部分检测设备的目的。通过对vagent内存马注入工具代码及原始流量分析,可以看到越来越多的黑客工具开始使用自定义加密方式对攻击载荷进行加密;
2024-11-12 14:47:10
1504
原创 【观成科技】APT组织常用开源和商业工具加密流量特征分析
在分析 APT 组织使用的开源和商业工具的加密通信特征后,我们能够更好的掌握这些工具的行为模式和通信特征,从而为APT攻击的检测提供新的线索。随着网络攻击手段的不断演变,我们的检测和防御措施也必须持续改进,在此过程中,对加密通信流量的分析将成为防御策略的核心,帮助我们应对不断变化的APT威胁。接下来,观成科技安全研究团队将继续追踪和分析APT组织使用的开源和商业工具,以保持对最新威胁的警觉,并不断优化检测方法,以适应变化的攻击手段,进一步守护加密网络空间的安全。编码的数据,每次发送的心跳内容保持不变。
2024-11-01 12:01:30
1399
原创 观成科技:新版suo5隧道工具加密流量跟踪分析
suo5是一个高性能的http隧道代理工具,支持全双工半双工模式,具有很高的传输性能,现在越来越多的webshell管理工具与内存马生成工具都支持了生成suo5木马的功能。从v1.1.0版本开始,其TLS协议传输功能中,增加了新的变化,每次握手使用随机的加密套件和扩展列表项,使得客户端指纹和特征不固定,增大了其TLS加密流量的检测难度。
2024-09-19 17:20:54
1756
原创 观成科技:海莲花活跃木马KSRAT加密通信分析
为了隐藏通信特征,KSRAT在心跳包中填充了随机生成的数据,使得载荷长度随机变化,但其并未更改XOR密钥和数据结构,导致心跳包请求体中的特征仍然显著,可直接通过特征值进行检测。样本执行后,使用HTTP协议与服务器进行通信,每隔30秒左右向服务器发送心跳包,心跳包构造为“8字节通信标识符+13字节固定数据+8字节随机数据长度+随机数据+9字节固定数据”。XOR算法加密的指令包由“8字节通信标识符+8字节固定数据+4字节控制指令+1字节数据+8字节随机数据长度+随机数据+9字节固定数据”组成。
2024-08-07 18:08:13
1038
原创 观成科技:活跃窃密木马TriStealer加密通信分析
从2024年4月起,它采用了ZIP和RC4结合的方式对数据进行加密,这一加密方案在7月份进行了升级,引入了Base64编码作为额外的步骤,形成了ZIP+Base64+RC4的复合加密流程。TriStealer的RC4加密密钥设计独特,由固定的6字节样本硬编码字符串和随机生成的字符串组成,为加密通信提供了安全性和混淆性。4月份的TriStealer使用“ZIP+RC4”对数据进行加密,7月份,TriStealer对加密方式进行了升级,开始采用“ZIP+Base64+RC4”的方式进行加密。
2024-07-24 09:14:44
743
原创 【观成科技】Websocket协议代理隧道加密流量分析与检测
Websocket中的掩码加密使用异或(xor)做简单的加密,当MASK字段对应位被设置为 1 时表示加密,那么后续会设置4字节的Masking-key,Mask位设置为 0 时表示不加密,则不会携带Masking-key。观成科技的安全团队通过研究Websocket协议本身结构特点,并与对应的工具流量相结合,从而提出行之有效的检测方法应用于产品当中,能在Websocket流量中准确发现异常,找出相关隧道的搭建和使用痕迹,保障客户网络的安全。Websocket协议代理工具加密流量检测。
2024-07-10 17:20:01
1449
原创 观成科技:证券行业加密业务安全风险监测与防御技术研究
随着密码“⼀法三规⼀条例”(《密码法》、《国务院办公厅关于印发国家政务信息化项⽬建设管理办法的通知》、《贯彻落实⽹络安全等级保护制度和关键信息基础设施安全保护制度的指导意⻅》、《关键信息基础设施安全保护条例(征求意⻅稿)》、《商⽤密码管理条例》)以及国标GB/T39786-2021《信息安全技术信息系统密码应⽤基本要求》的出台,促进了密码产业及技术的发展,商⽤密码技术不断推陈出新,其普及、推⼴与应⽤也随之增⻓。为了应对这些挑战,有必要对资产和流量中不同类型的加密业务进行梳理,了解其各自的特点与应用场景。
2024-06-27 15:54:36
1392
原创 观成科技:某修改版哥斯拉Webshell流量分析
这意味着,无论是通过增加请求参数数量来混淆请求,还是通过将响应体内容从HTML格式修改为JSON或JS等其他格式,都可以通过已知的加密特征对其进行识别和分析。利用哥斯拉Webshell工具进行的通信,攻击者可以对通信方式进行修改、混淆从而规避传统明文流量设备的检测,但是基于人工智能、流行为特征检测的加密威胁智能检测系统能够检测此类加密通信行为。哥斯拉Webshell还可以通过各种魔改,绕过流量检测设备,近期,观成安全研究团队获取了哥斯拉的某个修改版本,并对其进行了分析和研究。图3:响应体对比图,修改版右。
2024-06-26 15:22:09
948
原创 观成科技:基于深度学习技术的APT加密流量检测与分类检测方案
由于加密流量的实际载荷已被加密,故采用原始的流量检测方法,如深度包检测等方法,对于加密流量而言基本无效。常用的池化方式有最大池化和平均池化两种。针对传统的检测方式无法检测APT中的加密流量的问题,利用深度学习框架,提取加密流量本身的高级特征,分别完成对于APT加密流量的识别以及APT组织分类的任务,目前来看取得了不错的效果。这里采用无监督学习仅对掌握的APT加密流量进行训练,学习到APT加密流量的特有模式,然后用于流量检测,能够有效的利用现有APT流量,识别现网中的APT流量,同时规避白流量的选择问题。
2024-06-11 15:09:29
1421
原创 观成科技:Play勒索软件组织加密流量分析
Play勒索软件组织使用CobaltStrike进行命令与控制操作,通过SystemBC、Empire、PsExec和RDP进行内网横向移动,并使用WinRAR压缩内网中敏感数据,利用WinSCP和Plink将数据窃取到远程服务器,最终通过AES和RSA算法加密文件,并将文件后缀修改为“.play”,完成窃密+勒索的攻击过程。C&C服务器下发给SystemBC的数据格式如下图所示,数据长度是数据部分的长度,地址类型包括“1”、“3”和“4”,1代表地址是域名,2代表地址是IP,3代表地址是IPv6。
2024-05-29 17:46:55
1146
原创 【观成科技】加密C2框架Xiebro流量分析
服务端命令下发和被控端返回命令结果格式大致相同,服务端下发命令内容分为固定字段和对应数据,固定字段为Pac_ket、WriteInput、TargetClient、HWID,将命令放在WriteInput中,经过AES加密后将加密数据发送给受控端。木马运行后,被控端会发一个上线请求,内容分为固定字段和对应数据,固定字段为Pac_ket、ProcessID、ListenerName、Controler_HWID、Info等数据,其中Controler_HWID为生成的唯一ID,用于区分不同的受控主机。
2024-05-14 17:08:51
616
原创 观成科技:蔓灵花组织加密通信研究分析总结
首先,我们采用基于规则的检测方法 ,在面对简单的明文通信和已知密钥加密的工具时,对其流量中的关键字符串,比如url、固定密钥加密的16进制字符进行匹配。在面对较为复杂的攻击武器通信加密的流量时,针对已知密钥的情况,可以利用已掌握的密钥规律进行解密尝试。对于未知密钥的加密流量,我们可以通过统计流量数据在时间、空间上的分布情况,对蔓灵花组织的每款工具制定行为模型,例如统计流量中的心跳时间间隔,载荷的数据格式,以及流量中上下行数据的关系,来判断是否符合蔓灵花组织某一攻击武器的流量通信行为特征。
2024-04-23 18:13:33
1713
3
原创 [观成科技] 加密C2框架Merlin流量分析
Merlin是一款支持多种协议的后渗透测试工具。与CS相比,由于该工具使用go语言进行开发(go语言支持跨平台编译),使得Merlin具备了跨平台的优势。该工具传输数据使用了JWE(JSON Web Encryption)格式进行加密数据传输,有效的保护了通信数据的隐蔽性。
2024-04-09 11:29:31
1607
3
原创 观成科技:白象组织BADNEWS木马加密通信分析总结报告
观成安全研究团队在近期捕获了BADNEWS新样本,分析发现该样本使用了HTTPS加密协议进行C&C通信,内层HTTP载荷中又组合使用了XOR+RC4+Base64加密算法和编码,进一步提高传输信息的隐蔽性。早期,BADNEWS样本均使用HTTP协议进行通信(23年5月开始使用HTTPS),请求的URL为随机生成的不规则字符串,URL后缀为“php”。2023年至今(样本9-12),开始使用安全传输协议HTTPS,使用XOR+RC4+Bas64,密钥相同,且开始使用非硬编码密钥(除样本10)。
2024-03-27 15:58:04
1549
原创 观成科技-基于自适应学习的人工智能加密流量检测技术
在自适应模型中,使用历史数据构建的数据集训练模型后,在现网环境中会周期性收集客户现网的白流量(因为客户侧绝大多数的流量都是白流量),而后采用增量学习的方式将其加入到原有模型中,以完成模型的动态更新。针对目前基于预先训练模型的机器学习技术检测恶意流量在现网特定网络环境中存在误报率偏高的现象,引入基于增量学习的自适应学习技术,通过在一定时间周期内提取客户现场的白流量,我们使得原有的固化模型能够学习到最新的流量知识,从而大大减少了误报率,提升了检测能力。为了进一步提高固化模型的实际效果,可以采用自适应模型。
2024-03-13 17:24:17
1371
原创 观成科技:加密C2框架Covenant流量分析
IV为AES加密的初始向量;如今,越来越多的攻击者采用加密通信的C2工具,以提升攻击的隐蔽性。虽然此工具的心跳是自定义的,但值是固定整数值,不能中途更改,其工具的心跳存在周期性,并且其web服务使用固定服务端口7443以及默认证书,可通过证书指纹、机器学习模型以及多流行为检测此工具的HTTPS模式C&C通信流量。被控制端主动连接控制端,并使用GET方法请求默认的url:/en-us/index.html、/en-us/docs.html、/en-us/test.html其中之一来判断控制端是否存活。
2024-02-28 17:05:33
1434
原创 探幽寻秘,一网打尽—多版本银狐木马加密要素揭秘
使用XOR+加减法加密的样本共发现四种,分别使用四个不同的加密密钥,解密后的上线包数据为计算机名、当前时间等系统信息,数据格式一致,均由0xF字节长度的数据头+实际上传数据构成,数据头包含3字节的特征字符+整体数据长度+实际上传数据长度+固定字符。两种样本的通信载荷数据格式一致,前4字节是数据长度,后面跟10字节密钥数据,密钥数据与0x36、0x3d(两个样本中硬编码记录)进行加法运算后得到XOR密钥,后面1字节在服务器发送给客户端的数据中存储着控制指令,最后一部分是XOR加密的数据。
2024-01-23 16:29:20
1536
原创 观成科技-加密C2框架EvilOSX流量分析
而后通过“-”连接的一段base64数据,解密后是一些服务端和受控端的信息。在利用EvilOSX-C2工具的过程中,会优先上传其释放的木马文件,该文件具有特殊格式,之后通信过程中会利用404页面隐藏真实响应,但是基于人工智能、流行为特征和TLS限定域指纹检测的加密威胁智能检测系统能够检测此类加密通信行为。而404中携带的数据,解码后含义是通过get_uid函数获取当前计算机用户名和唯一标识符拼接后转化为16进制数据,用于下一段中使用openssl命令对一段加密的代码进行解密,并通过exec()函数执行。
2024-01-10 17:32:25
1348
原创 蔓灵花组织wmRAT攻击武器对比分析
其中2023年2月之前的样本字符串加密和通信加密均使用相同的加密密钥,在这之后不再使用相同的密钥,这样即使攻击者获得了样本字符串加密的密钥,也无法轻易推断后续通信的密钥,这种差异化的加密策略增加了破解的难度。发送的心跳数据多为"X"、"-"、"0"、"1"、"."几种元素的组合,心跳时间的精确度从一开始的整数变成浮点数,心跳包的格式为四字节标识符+四字节长度+数据,数据在样本中硬编码。第三次则为实际传输的数据,服务端发送控制指令,客户端返回窃取的数据,采用所有字节(+密钥)的方式加密传输。
2023-12-27 11:21:36
1515
原创 主动激活木马加密流量分析
在网络攻击中,木马病毒通常会使用监听某个端口的方式,或者直接连接C2地址、域名的方式来建立通信,完成命令与控制。而APT攻击中,攻击者为了更高级的潜伏隐蔽需求,其部署的木马或后门,会采用对网卡流量进行过滤的方式,获得一定的通信信令才会触发执行实际的攻击,这一部分的活动称为流量激活。本文以一个正常的端口敲击应用Knock和ATT&CK中“Traffic Signaling”章节提到的几类家族来了解流量激活的几种常见方式。从以上几个示例可以看到木马病毒的激活具有多种方式。
2023-11-01 09:34:35
436
原创 内网穿透工具Ngrok加密流量分析
攻击者利用Ngrok工具可以快速的将内网服务映射至公网,攻击者对内网的主动攻击行为,所有的流量都在内网主机与Ngrok官网的通信流量中,且TLSv1.3的使用隐藏了握手和证书等有用信息,增加了流量分析和检测难度。经过分析发现Ngrok在TLS通信过程中维持长连接,虽然握手信息、证书信息、传输内容都看不到,但是从加密载荷规律的时空分布上看,该工具具有较为规律的心跳特征,心跳包的载荷变化规律也呈现周期性变化,心跳包的加密流量载荷长度大多数为特定的包长序列,且在时间上存在周期性。图 2 Ngrok客户端信息。
2023-10-19 14:03:32
405
原创 加密C2框架Mythic流量分析
Mythic工具不仅提供了强大的渗透测试和红队操作功能,而且其高度模块化的架构允许用户自定义Payload、任务和插件,赋予了Mythic出色的灵活性和可扩展性。并且,通过加密技术的应用,Mythic能够很好地规避流量检测设备,显著减少了被发现的风险。如今,越来越多的攻击者采用加密通信的C2工具,以提升攻击的隐蔽性。值得注意的是,请求体和返回体的加密数据都包含一个特定长度的UUID。这基于客户端-服务器模型,其中服务器是Mythic服务器,而客户端则是恶意的Beacon,它被安装在目标系统上。
2023-09-26 16:33:21
621
原创 攻防演练场景中面临的常见加密威胁-SSH隧道工具sish
该工具SSH流量存在心跳特征,虽然心跳时间可以由参数配置,但是心跳包的大小呈现一致性,且该工具由go语言编译,服务端ssh指纹与常见各版本系统ssh服务端指纹不相同,这些都可以作为弱检测特征,多个弱特征组合成一个强特征,使该工具的通信行为可以被加密流量检测设备发现。通过对该工具进行研究,本文以隐藏天蝎(Webshell管理工具)访问Webshell以及Cobalt Strike(渗透工具,后文简称CS)木马回连C&C的流量为例,分析该工具在攻防场景下的应用。该工具的功能是将内网端口暴露在公网上。
2023-07-25 14:47:22
318
原创 攻防演练场景中面临的常见加密威胁-WebShell工具
另外,它还支持一定程度的定制,例如修改默认请求头、请求体添加自定义内容等,为红队修改他的动静态特征提供了便利,在流量侧具有一定的绕过威胁检测的能力。WebShell管理工具种类繁多,相较于菜刀等传统的WebShell管理工具,新型WebShell管理工具具备了更强大的定制功能,以及绕过流量检测和免杀的能力,使攻击者能够更加灵活和有效的进行攻击活动。传统的WebShell检测方法主要基于字符串匹配和简单的行为分析,通过对已知的WebShell特征和行为进行识别和比对,来判断是否存在恶意的WebShell。
2023-07-11 16:09:38
274
原创 【攻防演练篇】攻防演练场景中面临的常见加密威胁-HTTP隐蔽隧道
在网络安全领域,隐蔽隧道是一种基于主流常规协议将恶意流量伪装成正常通信起到夹带偷传数据、下发控制指令等作用,同时对数据进行加密以最大限度的规避网络安全设备检测的传输技术。
2023-06-27 14:20:06
385
1
原创 【攻防演练篇】攻防演练场景中面临的常见加密威胁-CS工具
观成科技安全研究团队模拟了大量CS攻击流量,重点研究了CS木马利用CDN/域前置/云函数等各种公用基础设施进行流量伪装、混淆场景下的限定域指纹特征、流行为特征,同时对攻击流量进行AI模型训练,为CS木马的加密流量检测打下基础。Beacon执行后,会先向DNS服务器发起对可信域名的解析请求,获取CDN节点IP后,向CDN发送SNI为可信域名的TLS连接请求,随后发送Host为C2域名的心跳请求,CDN根据Host将数据转发给CS服务器并将接收到的返回数据转发给Beacon。连接,发送心跳请求,
2023-06-15 16:28:44
514
原创 攻防演练篇:攻防演练场景中,加密视角下的威胁情报能力建
观成科技基于多年来在加密网络空间的威胁检测、威胁分析、威胁挖掘、威胁探测、威胁响应和威胁处置能力,形成具有加密要素多层面解析、同源威胁精细化关联、攻击设施深度挖掘和AI驱动高质量情报生产等特色的加密威胁情报平台,可以有效补充传统安全产品加密威胁检测能力。在前期准备阶段,需要跟踪分析黑客工具、热门商业木马及恶意家族,可以基于通信样本的行为特征、通信信息和加密要素信息,提取加密特征,构造上线包、心跳包与指令响应包,进而进行主动探测获取C&C信息,提前掌握攻击设施。
2023-05-31 11:20:48
250
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人