生活
本地特色
美食养生
求职招聘
特色小吃
家常菜
保健食品
农产品
饮料
蛋糕甜点
火锅
肉类海鲜
新闻
时光记忆
恋恋爱
母婴
测试
科技
电脑
手机
其他
编程
汽车
文化
读书
历史
心得
艺术
高考
跨境电商
跨境交流
跨境市场
跨境百科
跨境头条
玩
NBA
自驾游
徒步骑行
明星八卦
旅了个游
搞笑
游记攻略
美景分享
随手拍
城市风光
英语
英语家园
英语学习
每日一句
有声读物
汽车
搜索
快捷导航
登录
注册
ဆ
热搜词
活动
交友
discuz
本版
文章
帖子
用户
科技
+关注
+发表新主题
攻防演练场景中面临的常见加密威胁-SSH隧道工具sish
[复制链接]
作者:
jmartincufre
|
时间: 2023-7-25 14:19:03
|
其他
|
0
94
jmartincufre
当前离线
积分
5844
窥视卡
雷达卡
jmartincufre
1948
主题
1948
帖子
5844
积分
研究生
研究生, 积分 5844, 距离下一级还需 1156 积分
研究生, 积分 5844, 距离下一级还需 1156 积分
积分
5844
发消息
发表于 2023-7-25 14:19:03
|
显示全部楼层
|
阅读模式
1 工具介绍
sish是一个开源的反向代理工具,通过在公共的端点和本地运行的服务器之间建立一个安全的ssh通道。该工具的功能是将内网端口暴露在公网上。该工具部署在公网中,本地无需安装,无需注册,支持转发的协议有HTTP(S)、WS(S)、TCP。
l 优点:①流量设备记录了外联的ssh流量,流量加密;
②本地无需安装,利用openssh本身的端口转发,无落地文件。
l 缺点:①本地设备必须可以访问外网;
②本地设备必须可以使用ssh。
图 1-1 SSH隧道转发web访问流量示例图
2 攻防演练场景中的应用-隐藏攻击流量
在攻防演练场景下,攻击者往往会通过各种手段绕过终端检测,同时还会使用魔改、加密、隧道等方式来逃避流量威胁检测。
sish这款工具可以利用SSH隧道来隐藏真实的攻击流量。通过对该工具进行研究,本文以隐藏天蝎(Webshell管理工具)访问Webshell以及Cobalt Strike(渗透工具,后文简称CS)木马回连C&C的流量为例,分析该工具在攻防场景下的应用。
2.1 隐藏Webshell流量
应用场景:在失陷设备中存在web服务,且已被攻击者成功上传Webshell,该设备可以访问公网。攻击者在公网部署了sish服务器。
攻击者利用ssh的远程端口转发功能,将内网web服务端口与公网sish服务器web端口建立SSH隧道。所有访问sish服务器web端口的流量都会通过SSH隧道转发到内网,实现Webshell流量的隐藏。流量设备中只能记录内部设备外联SSH服务器的流量,隐蔽性极高。
这种利用不仅可以隐蔽通信流量,还可以扩大Webshell的利用范围。Webshell一般利用在内外网都可直接访问的web服务器。这种隐蔽Webshell流量的方式,可以将内网的web服务快速暴露在公网中,给攻击者更多利用Webshell的机会。
图 2.1-1 SSH隧道隐藏Webshell流量示例图
2.2 隐藏木马回连C&C的流量
应用场景:攻击者在失陷设备上部署了sish服务器,该设备可被攻击者直接或间接访问。
攻击者将CS的team server服务器端口与失陷设备的sish服务器建立SSH隧道。使用CS生成回连C&C为localhost的木马,sish会将CS回连localhost的流量通过隧道传输到team server服务器,从而达到隐藏CS通信流量的目的。
l 优点:①流量设备中完全不存在CS的通信流量,只存在内联的ssh流量。CS的通信流量只存在本地的一个端口到另一端口,流量加密,隐蔽效果好;
②CS马中未记录真正的C&C地址,如果team server服务器只有在使用的时候建立连接,C&C地址将难以暴露、难以溯源;
③被发现异常SSH通联后。
l 缺点:①team server服务器必须可以访问这个设备;
②sish服务器需要部署到失陷设备;
③因为是内联的SSH,该协议是常见的远程登录协议,容易引起重视;
④应用场景较为苛刻。
图 2.2-1 SSH隧道隐藏CS木马回连流量示例图
3 流量分析
该工具SSH流量存在心跳特征,虽然心跳时间可以由参数配置,但是心跳包的大小呈现一致性,且该工具由go语言编译,服务端ssh指纹与常见各版本系统ssh服务端指纹不相同,这些都可以作为弱检测特征,多个弱特征组合成一个强特征,使该工具的通信行为可以被加密流量检测设备发现。
图 3-1 SISH-SSH隧道心跳特征截图
4 检测
观成瞰云(ENS)-加密威胁智能检测系统对sish产生的SSH隧道流量的检出结果。
5 总结
sish工具本身可以配置通信参数,如通信白名单、通信心跳等。工具使用SSH协议传输,当应用于隐蔽攻击流量时,检测原攻击工具流量特征的方法将会失去作用。相比HTTP等传统加密隧道,使用SSH等加密协议构建隧道,能进一步对原始攻击流量进行加密协议封装,提高隐蔽性,规避流量检测设备的检测。其他加密协议如TLS、RDP也可以搭建类似隧道。
观成科技安全研究团队通过对这类加密协议隧道工具产生的流量进行分析,研究其在各种攻防场景下的流量隐藏技术,力争在这类隐蔽隧道流量检测方面做出突破。
来源:
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
回复
使用道具
举报
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜
返回列表
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
回帖后跳转到最后一页
浏览过的版块
生活美食
汽车
英语
发表新帖
回复
楼主新帖
数据要素x项目办公室:数据人才培养标准有什么方式?标准来看
vivo X100 Ultra双向卫星通信支持中国香港地区
Django 安装
忘记Excel密码?试试这款神奇软件!
急求!免费的ai写作软件,好用的AI工具分享
24小时热门
更多>
快速回复
返回列表
返回顶部