『红蓝对抗』Cobalt Strike 反溯源之 CDN 篇

日期：2021-04-22

作者：pbfochk

介绍：本篇文章主要讲述常规反溯源技术中利用 CDN+域名 对自己的真实VPS地址进行隐藏。

0x00 前言

红蓝对抗演练中，蓝方对红方 IP 地址的溯源可以对红方造成很大阻碍，红队有效地隐藏自己的真实地址在实战中起着重要作用。

本文讲述通过 CDN+域名 方式隐藏木马在回连过程中的真实地址，从而规避被蓝方溯源的风险。

0x01 域名准备

1.1 注册域名

首先我们需要一个域名来与 CDN 相互配合， VPS 所映射的域名肯定不能用自己的域名，一不小心就来个当场被捕。这次推荐使用国外免费域名网站 https://www.freenom.com ，随便注册一个 .tk 域名。

1.2 更改DNS

绑定自己 VPS 地址并测试可用后，需要更换 DNS 解析地址（名称服务器下文 CDN 会提到）。

0x02 CDN

2.1 CDN准备

CDN 的全称是 Content Delivery Network ，即内容分发网络，这里我们注册免费 CDN https://dash.cloudflare.com ，注册完成后填写之前注册好的 .tk 域名。

2.2 获取DNS地址

进入 CDN 设置界面，在 Cloudflare 名称服务器处会有两条 DNS 服务器地址。

2.3 域名更换DNS服务器

返回 freenom 域名 Nameservers 处，更换 Cloudflare 名称服务器处的两条 DNS 服务器地址。

2.4 开启缓存

0x03 cobalt strike 溯源测试

3.1 常规查询

（2）可以看到域名回显地址已经不是我们VPS的真实地址了，我们使用搜索引擎测试。

3.2 Cobalt Strike 监听器

新建监听器 windows/beacon_http/reverse_http 或 windows/beacon_https/reverse_https 均可， host 与 beacons 设置为域名， port 设置为支持的端口，以下图为例。

Cloudflare 支持的HTTP端口：

80,8080,8880,2052,2082,2086,2095;

Cloudflare 支持的HTTPS端口：

443,2053,2083,2087,2096,8443;

3.3 Cobalt Strike回连对比

（1）首先测试常规情况下生成的 payload 连接行为。执行过程分析：

网络行为分析：

可以看到通过普通的溯源手段即可获取 VPS 的真实地址。

（2）接下来测试域名与 CDN 流量转发后的 payload 连接行为。执行过程分析：

网络行为分析：

这时指向地址显示的是我们之前设置好的域名，指向的IP为 CDN 的地址。

（3）生成的 payload 在上线机器的端口占用显示为 CDN 的IP地址。

（4）目标机器通过 CDN 转发上线。

0x04 总结

本文内容主要应用于通过 CDN 的内容分发来对自己真实的 C2 IP 地址进行隐藏，CDN隐藏方法相对于域前置技术来说更加方便部署，相对于重定向方法来说暴露风险更低，是反溯源手段中比较推荐的一种方式。

免责声明：本文仅供安全研究与讨论之用，严禁用于非法用途，违者后果自负。

宸极实验室

宸极实验室隶属山东九州信泰信息科技股份有限公司，致力于网络安全对抗技术研究，是山东省发改委认定的“网络安全对抗关键技术山东省工程实验室”。团队成员专注于 Web 安全、移动安全、红蓝对抗等领域，善于利用黑客视角发现和解决网络安全问题。

团队自成立以来，圆满完成了多次国家级、省部级重要网络安全保障和攻防演习活动，并积极参加各类网络安全竞赛，屡获殊荣。

对信息安全感兴趣的小伙伴欢迎加入宸极实验室，关注公众号，回复『招聘』，获取联系方式。