【观成科技】加密C2框架Xiebro流量分析

一、工具介绍

Xiebro是由Golang和 .NET编写,提供支持的多人和多服务器 C2/后开发框架。它支持多种通信协议,包括TCP、websocket等,并且在客户端与Xiebro服务器之间的通信通常采用AES加密来保障安全性和隐蔽性。

二、工具原理分析

Xiebro C2工具在生成木马时AES密钥硬编码在木马中,木马与C2服务器通信使用AES算法来加密通信内容,流程见下图。

图1:工具原理图

固定字段

字段用途

Pac_ket

区分传输数据内容,比如传输的心跳或者命令下发

Controler_HWID

生成的唯一ID,用于区分不同的受控主机

ProcessID

进程ID

ListenerName

监听器的名字

ReadInput

被控端命令结果返回

WriteInput

控制端命令下发

表一:传输固定字段用途

木马运行后,被控端会发一个上线请求,内容分为固定字段和对应数据,固定字段为Pac_ket、ProcessID、ListenerName、Controler_HWID、Info等数据,其中Controler_HWID为生成的唯一ID,用于区分不同的受控主机。

图2:AES密钥和上线请求的图

木马交互时心跳为固定json格式,内容为{'Pac_ket': 'ClientPing', 'Message': 'DDDD'},经过AES加密后将加密数据发送给服务端,默认木马心跳是15秒一次。

图3:心跳

服务端命令下发和被控端返回命令结果格式大致相同,服务端下发命令内容分为固定字段和对应数据,固定字段为Pac_ket、WriteInput、TargetClient、HWID,将命令放在WriteInput中,经过AES加密后将加密数据发送给受控端。被控端返回命令结果内容分为固定字段和对应数据,固定字段为Pac_ket、Controler_HWID、ProcessID、ListenerName、ReadInput,将命令结果放在ReadInput中传输给服务端。

图4:被控端返回命令结果

图5:流量分析

图6:解密后的命令结果返回内容

三、工具检测

根据分析结果,此工具具有心跳,且心跳包的载荷长度有规律,虽然载荷经过加密看不到明文,通过心跳行为模型能够实现对Xiebro C2工具的有效检测;如果工具使用者不对默认密钥进行更换,也可通过规则检测工具默认格式字段加密后的特征。

图7:Xiebro检出结果

四、总结

利用Xiebro C2工具进行C&C通信,攻击者可以将通信内容加密从而规避传统明文流量设备的检测,但是基于人工智能、流行为特征检测的加密威胁智能检测系统能够检测此类加密通信行为。如今,越来越多的攻击者采用加密通信的C2工具,以提升攻击的隐蔽性。观成科技安全研究团队持续追踪这些C2工具的最新动态,积极研究和更新针对加密流量的检测技术。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/624709.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

Sectigo SSL证书申请的流程是怎样的?

在当今数字化时代,网络安全成为了一个不可忽视的问题。为了保护网站和用户数据的安全,SSL证书成为了网站运营的重要组成部分。Sectigo作为全球领先的数字证书颁发机构之一,提供了一系列的证书解决方案来满足不同类型网站的需求。以下是对Sect…

一体化水处理设备有哪些

一体化水处理设备是一种集成了多种水处理工艺的紧凑型设备,适用于各种规模的水处理需求,包括生活污水、工业废水、饮用水处理等。这些设备通常设计为模块化,便于安装、运输和扩展。以下是一些常见的一体化水处理设备类型: 一体化生…

针对大型企业网站和内部网的框架/内容管理系统建议

1. 问题背景 在大型企业中,网站和内部网的建设至关重要,但企业在选择框架/内容管理系统(CMS)时往往面临诸多难题。这些难题包括: 稳定性和可靠性: 企业网站和内部网需要稳定可靠,以确保业务的…

【热门话题】Vue.js:现代前端开发的轻量级框架之旅

🌈个人主页: 鑫宝Code 🔥热门专栏: 闲话杂谈| 炫酷HTML | JavaScript基础 ​💫个人格言: "如无必要,勿增实体" 文章目录 Vue.js:现代前端开发的轻量级框架之旅一、Vue.js概览1.1 Vue.js的诞…

数据中心逆变电源的功率容量计算方法

随着信息技术的快速发展,数据中心在现代社会中的地位日益凸显,各种企业和机构对数据中心的依赖程度也越来越高。而电源作为数据中心的核心基础设施,其可靠性和高效性直接影响着数据中心的稳定运行。因此,如何设计一款性能优越、可…

以管理员身份运行设置

在使用非 Administrator 用户操作情况下: 举个例子,因为每次想要以管理员身份运行命令提示符,都要右键选择才行,有点麻烦。 可以设置每次点开就是以管理员身份运行命令提示符,操作如下: 1.Win R 输入 s…

知了汇智副总经理赵懋骏出席“走进阿里”CEO联席会,共话AI大模型新趋势

在智能科技日新月异的今天,汇智知了堂副总经理赵懋骏于3月28日受邀出席了在天府软件园举行的“走进阿里–2024年CEO联席会”,会议聚焦阿里云AI技术的最新进展与行业应用,特别是“AI技术正在加速变革:大模型的历史、现在与趋势”&a…

批量剪辑与转码解析:一键实现MP4到FLV顺畅转换的技巧

在数字化多媒体日益盛行的今天,视频格式转换成为了我们日常生活和工作中不可或缺的一部分。尤其是当需要将MP4格式的视频转换为FLV格式时,批量剪辑与转码功能的出现,极大地提升了我们处理视频的效率。本文将为您详细解析云炫AI智剪如何一键实…

apisix3.9.1 和 dashboard 离线安装

服务器配置 centos7 linux x86 64 前置 需要将离线安装包上传到服务器上 {上传目录 /root/apisix-soft/ } 【建议:优先上传etcd-*.jar \ apisix-*.rpm \ cyrus-*.rpm \ openldap-*.rpm 等安装好apisix后再上传apisix-dashboard-*.rpm】 可以自行网上寻找,或找一台可…

spring cloud alibaba、spring cloud和springboot三者的版本兼容

官方版本说明地址: 版本说明 alibaba/spring-cloud-alibaba Wiki GitHub 组件版本关系 每个 Spring Cloud Alibaba 版本及其自身所适配的各组件对应版本如下表所示(注意,Spring Cloud Dubbo 从 2021.0.1.0 起已被移除出主干,不再随主干演进): Spring Cloud Alibaba Ve…

初识java——javaSE(4)类与对象

文章目录 前言一 类与对象1.1 面向过程与面向对象思想的区别:1.2 类的定义1.3 类的实例化——对象通过创建对象,调用对象中的成员变量与方法 1.4 this关键字this的作用一:this 的作用二构造方法:对象创建的两步方法的重载 this的作…

SGPM02陀螺仪模块通过惯性导航助力AGV小车的发展

之前我们介绍过SGPM01系列陀螺仪模块在智能泳池清洁机器人导航的方案(SGPM01)。这款惯性导航模块收到了许多企业的欢迎。由此,爱普生推出了SGPM02系列陀螺仪模块通过惯性导航,助力AGV小车的发展。 AGV是一种用于运输材料的无人驾驶车辆,并且A…

SHAP分析交互作用的功能,如果你用的模型是xgboost

SHAP分析交互作用的功能,如果你用的模型是xgboost 如果在SHAP分析中使用的是xgoost模型,就可以使用SHAP分析内置的交互作用分析,为分析变量间的相互提供了另外一个观察的视角。关于SHAP交互作用分析,一个参考资料,还是…

word2019 64位 NoteExpress突然无法使用解决方法

之前用的好好的,去除格式化运行过一次。 打开别的文档,突然发现红框中的图标全变灰了 根据教程添加 加载项,然后word以管理员身份重启,NE也以管理员身份运行,又可以了 然后突然又不行了,重启电脑后NE变成…

Java——类和对象第二节——封装

1.什么是封装 封装是面向对象程序的三大特性之一,面向对象程序的三大特性分别是封装,继承,多态 而封装简单来说就是套壳隐藏细节 打个比方: 在一些电脑厂商生产电脑时,仅对用户提供开关机键,键盘输入&a…

怎么防止源代码防泄密

随着数字化时代的到来,源代码作为企业和个人的重要资产之一,承载着无价的知识和创新。然而,源代码泄露已成为当今信息安全领域的重要挑战之一,给企业带来了严重的经济损失和声誉风险。面对这一挑战,我们有责任加强对源…

【Power BI】DAX语言 VS Power Query M语言

DAX(Data Analysis Expressions)和Power Query M语言是Microsoft Power BI和Excel中的两种强大的数据处理和分析工具。尽管它们在许多方面都有重叠之处,特别是用于数据建模和数据转换,但它们在用途、语法和功能上有显著的区别。本…

干部民主测评:深化管理智慧,凝聚团队力量

在现代化组织管理的广阔舞台上,干部民主测评扮演着举足轻重的角色。它不仅是评价干部工作实绩、能力素质的有力工具,更是推动组织向民主化、科学化、规范化迈进的强大引擎。通过民主测评,我们能够深入洞察每位干部的工作表现、群众基础和领导…

QT的创建,发现编译器有一个黄色三角形感叹号,提示说Cmake配置错误,该怎么办?

确保你安装了Cmake 2.如果你电脑之前已经装了Cmake,那么在qt安装中,即便你选择了Cmake版本,但依旧不会修改电脑的Cmake版本。这时候就会出现黄色箭头。在勾勾的地方会有一个黄色感叹符号(我已经解决了,所以没有显示&a…