ݺߣ

ݺߣShare a Scribd company logo

Ẩn mình kết nối C&C - Xu hướng tấn công và cách phòng thủ

Security Bootcamp
Security Bootcamp

Ẩn mình kết nối C&C - Xu hướng tấn công và cách phòng thủ

1 of 27
Downloaded 12 times
Ẩn mình kết nối C&C - Xu hướng tấn công và cách phòng thủ
Nguyễn Hoàng Hải (hainh45) + Nguyễn Tiến Phong (phongnt56) Trung tâm Giám sát & Phản ứng trên Không gian mạng – Công ty An ninh mạng Viettel Cyber Incident Response Threat Hunter Vulnerability Management Security Research C++/C#/Assembly/Java Developer
● Chia sẻ từ các sự cố thực tế đã gặp phải ● Không phân tích tổng quan kĩ thuật, có thể còn rất nhiều cách làm khác tương tự.
Ẩn mình kết nối C&C - Xu hướng tấn công và cách phòng thủ
● Phân tích các request đến số lượng lớn các sub domain bất thường của 1 domain. => xác minh và xử lý
Ẩn mình kết nối C&C - Xu hướng tấn công và cách phòng thủ
Ẩn mình kết nối C&C - Xu hướng tấn công và cách phòng thủ
Ẩn mình kết nối C&C - Xu hướng tấn công và cách phòng thủ
Ẩn mình kết nối C&C - Xu hướng tấn công và cách phòng thủ
● Kết nối outbound bất thường từ tiến trình web ● Số lượng request POST lớn bất thường vào 1 uri ● Các hành vi login bất thường từ source localhost
Ẩn mình kết nối C&C - Xu hướng tấn công và cách phòng thủ
Ẩn mình kết nối C&C - Xu hướng tấn công và cách phòng thủ
Ẩn mình kết nối C&C - Xu hướng tấn công và cách phòng thủ
Ẩn mình kết nối C&C - Xu hướng tấn công và cách phòng thủ
View more at https://docs.microsoft.com/en-us/exchange/mail-flow/transport-agents/transport-agents?view=exchserver-2019
Ẩn mình kết nối C&C - Xu hướng tấn công và cách phòng thủ
● Install-TransportAgent -Name "MySpamFilterAgent" -TransportAgentFactory "MyAgents.MyAgentFactory" - AssemblyPath "C:testMyAgent.dll" ● Enable-TransportAgent MySpamFilterAgent ● Restart-Service MSExchangeTransport
Ẩn mình kết nối C&C - Xu hướng tấn công và cách phòng thủ
Ẩn mình kết nối C&C - Xu hướng tấn công và cách phòng thủ
Ẩn mình kết nối C&C - Xu hướng tấn công và cách phòng thủ
- Tất cả hostname trong config của Colbalt Strike đều trỏ về Fastly - Do máy chủ của các domain này bị compromise hay do Fastly có lỗi?
● Fastly cung cấp dịch vụ CDN, cho phép người dùng sử dụng và cấu hình CDN một cách nhanh chóng
• Demo gửi request đến target: docs.python.org (domain chuẩn) nhưng request được chuyển đến cho shiseido.com phản hồi. • Trường host trong https request được set giá trị bootcamp.com.vn (không tồn tại)
Fronting Điều kiện thực hiện: Attacker tìm được tên miền uy tín được đăng ký tại fastly, như docs.python.org, www.nescafe.com, www.imgur.com,...
Request đến domain docs.python.org (được đăng ký với fastly) Fastly trả về CDN của python Căn cứ vào Host Header để tìm service cùng tên (Tên của trường domain khi đăng ký CDN)
26
Keangnam Landmark 72, Pham Hung Rd., Nam Tu Liem Dist., Hanoi vcs.sales@viettel.com.vn | vcs.partners@viettel.com.vn viettelcybersecurity.com.vn

More Related Content

Ẩn mình kết nối C&C - Xu hướng tấn công và cách phòng thủ

  • 2. Nguyễn Hoàng Hải (hainh45) + Nguyễn Tiến Phong (phongnt56) Trung tâm Giám sát & Phản ứng trên Không gian mạng – Công ty An ninh mạng Viettel Cyber Incident Response Threat Hunter Vulnerability Management Security Research C++/C#/Assembly/Java Developer
  • 3. ● Chia sẻ từ các sự cố thực tế đã gặp phải ● Không phân tích tổng quan kĩ thuật, có thể còn rất nhiều cách làm khác tương tự.
  • 5. ● Phân tích các request đến số lượng lớn các sub domain bất thường của 1 domain. => xác minh và xử lý
  • 10. ● Kết nối outbound bất thường từ tiến trình web ● Số lượng request POST lớn bất thường vào 1 uri ● Các hành vi login bất thường từ source localhost
  • 15. View more at https://docs.microsoft.com/en-us/exchange/mail-flow/transport-agents/transport-agents?view=exchserver-2019
  • 17. ● Install-TransportAgent -Name "MySpamFilterAgent" -TransportAgentFactory "MyAgents.MyAgentFactory" - AssemblyPath "C:testMyAgent.dll" ● Enable-TransportAgent MySpamFilterAgent ● Restart-Service MSExchangeTransport
  • 21. - Tất cả hostname trong config của Colbalt Strike đều trỏ về Fastly - Do máy chủ của các domain này bị compromise hay do Fastly có lỗi?
  • 22. ● Fastly cung cấp dịch vụ CDN, cho phép người dùng sử dụng và cấu hình CDN một cách nhanh chóng
  • 23. • Demo gửi request đến target: docs.python.org (domain chuẩn) nhưng request được chuyển đến cho shiseido.com phản hồi. • Trường host trong https request được set giá trị bootcamp.com.vn (không tồn tại)
  • 24. Fronting Điều kiện thực hiện: Attacker tìm được tên miền uy tín được đăng ký tại fastly, như docs.python.org, www.nescafe.com, www.imgur.com,...
  • 25. Request đến domain docs.python.org (được đăng ký với fastly) Fastly trả về CDN của python Căn cứ vào Host Header để tìm service cùng tên (Tên của trường domain khi đăng ký CDN)
  • 26. 26
  • 27. Keangnam Landmark 72, Pham Hung Rd., Nam Tu Liem Dist., Hanoi vcs.sales@viettel.com.vn | vcs.partners@viettel.com.vn viettelcybersecurity.com.vn