APT34的rx.exe工具 流量分析报告

最新推荐文章于 2025-08-22 14:45:00 发布
原创 最新推荐文章于 2025-08-22 14:45:00 发布 · 500 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了APT34工具包里用于远程执行的模块,其原型是IntelliAdmin Remote Execute v1.0。说明了使用方法,分析了流量情况,如不同执行场景下TCP包和SMB2包的间隔规律。还给出检测方案,包括基于载荷和统计的检测方法。

工具概述

此工具是APT34工具包里的一个模块,原型是IntelliAdmin Remote Execute v1.0。用于远程执行。

使用方法

rx.exe -h [host] -u [user] -p [pass] [option] [filename] [arguments]

使用效果:
使用192.168.120.232远程主机上的cmd.exe
效果截图:
在这里插入图片描述
流量分析
1.协议协商和会话建立
在这里插入图片描述
2.连接到admin$共享
在这里插入图片描述
3.复制IntelliAdminRPC文件夹和rx.exe文件
在这里插入图片描述
4.连接到IPC共享
在这里插入图片描述
5.命令执行时的数据流量情况
如果不在CMD中执行命令,会在每2个TCP包中间隔12个SMB2包;如果在远程主机中的CMD中执行命令,则变成每2个TCP包中间隔3个SMB2包。且第一个SMB2包和第三个SMB2包会在DATA里面携带将要执行的命令。
在这里插入图片描述
在这里插入图片描述
6.明文返回远程执行的结果
在这里插入图片描述

检测方案

基于载荷的检测方法:
特征字符:IntelliAdminRPC、rx.exe、各种命令明文和返回执行结果的明文。
通过检测445端口,过滤携带特征字符信息数据包的ip地址。

基于统计的检测方法:
根据445端口或者根据ip地址统计TCP包和SMB2包
重点关注在2个TCP数据包之间间隔12个SMB2包的发送方ip地址。尤其是当收到明文命令的SMB2数据包后,TCP之间间隔的SMB2数据包变成了3个,并且会在之后的第一个TCP数据包后通过SMB2数据包返回执行结果明文。

22、网络分析工具Wireshark的全面解析与安装指南
bean的博客
07-25 38
本文详细解析了网络分析工具Wireshark的功能、应用场景及安装指南。内容涵盖网络嗅探与检测技术、Wireshark的特性与高级嗅探技术、防范网络嗅探的方法,以及在不同操作系统上的安装流程和注意事项。同时,还提供了常见问题的解决方案和Wireshark使用后的验证步骤,是一篇全面了解和掌握Wireshark的实用指南。
Linux 装机必备的危机工具(Crisis Tools)
山河已无恙
08-18 1058
博文内容整理自博客对作者谈到的危机工作做简单说明理解不足小伙伴帮忙指正 😃,生活加油99%的焦虑都来自于虚度时间和没有好好做事,所以唯一的解决办法就是行动起来,认真做完事情,战胜焦虑,战胜那些心里空荡荡的时刻,而不是选择逃避。不要站在原地想象困难,行动永远是改变现状的最佳方式危机工具列表。
Paper Note - 分析大量网络流量以进行APT检测
When you collect everything, you understand nothing.
02-20 1922
原文标题:Analysis of high volumes of network traffic for Advanced Persistent Threat detection 原文作者:Mirco Marchetti, Fabio Pierazzi∗, Michele Colajanni, Alessandro Guido Department of Engineering “Enzo Fe...
创宇猎幽APT流量监测系统获CSTC年度网络安全优秀案例
知道创宇KCSC
03-09 596
创宇猎幽APT流量监测系统(NDR)凭借出色的行业场景实践和出众的产品表现力,成功入选中国软件评测中心“2022 年度网络安全优秀案例”!
apt 恶意软件流量匹配表
cnbird's blog
09-11 1107
https://docs.google.com/spreadsheet/ccc?key=0AjvsQV3iSLa1dDFfWHduQlA5THBRd081eFhsZThwUlE#gid=0
APT34泄露工具的分析——HighShell和HyperShell
Eagle_pompom的专栏
04-25 1272
0x00 前言 最近APT34的6款工具被泄露,本文作为分析文章的第二篇(第一篇文章回顾),仅在技术角度对其中的HighShell和HyperShell进行分析。 参考资料: https://malware-research.org/apt34-hacking-tools-leak/amp/ 0x01 简介 本文将要介绍以下内容: · 对HighShell的分析 ·对HyperSh...
如何通过网络流量分析识别和防御高级持续性威胁
图幻未来的博客
05-12 1088
随着互联网的普及和发展,网络攻击手段也在不断升级。高级持续性威胁(APT)是一种针对特定目标的网络攻击方式,通常具有隐蔽性、持续性、针对性和复杂性等特点。在网络攻防战争中,如何有效地识别和防御APT成为了一个亟待解决的问题。本文将从网络流量分析的角度出发,探讨如何识别和防御APT,以保护网络安全。
网络流量监控工具vnstat工具的安装和使用
最新发布
lonelyhb的博客
08-22 445
vnstat是一款轻量级命令行网络流量监控工具,支持实时监控网卡流量,提供小时、日、月、年等多周期统计。安装简单,可通过包管理器或源码编译部署。主要功能包括流量统计、数据可视化、低资源消耗运行等。常用命令包括查看流量摘要(vnstat)、小时统计(vnstat-h)、月度汇总(vnstat-m)等,支持生成ASCII图表和导出JSON/XML数据。配置文件可自定义数据单位和重置周期,适用于服务器带宽分析、流量异常检测等场景。常见问题处理包括数据更新、多网卡监控等,通过man手册或官方文档可获取更多帮助。
Network 之四 常用 Linux 网络命令及网络调试工具介绍
技术干货
03-07 4359
相关知识 命令类号   在我们查阅一些命令的说明文档或者看某些 Linux 书的时候,常会看到 ifconfig(8)、conect(2)、select(2) 等等这样的写法。后面的这个括号及数字其实 man 手册的标准要求(表示 man 的章节号)。不同的数字表示命令的类型。使用 man man 可以进行查看: 1: 可执行程序或者 shell 命令。又叫用户命令, 可由任何人使用 2: 系统调用, 即由内核提供的函数 3: 库函数 4: 设备及特殊文件(/dev目录下) 5: 文件格式描述, 例如
linux监测网络流量小工具-iftop、ifstat、nload
等待着雨水,茁壮成长--李建敏
12-16 3895
有的时候我们部署了项目之后会对性能进行测试,影响性能的原因多方面,比如前端后端的代码是否足够优美,架构是否足够合理,带宽是否足够支撑,今天这三个小工具就是可以帮助我们查看在压测时,服务器的网络流量的输入和输出来帮助我们进行一个判断 写在前面的话(如果对linux很熟悉了可以直接略过): 这个小软件的安装非常非常的简单,但是如果不注意,即使很简单的过程基本也是一波三折:(我一linux cent
NanoCore RAT流量分析报告
DFMASTER的博客
05-30 1695
使用方法 1.运行根目录下的NanoCore.exe,在Builder里设置Host为攻击机ip与利用端口,默认端口为53896 2.设置监听端口,默认有1337、160553896 3.等待受控靶机执行生成的木马即可上线 检测方案 1.可检测从53896端口传递的心跳包,时间间隔为1s、2s或者3s 2.检测端数据包占比,数据包长度40-159的占比为97.51% 3.当远控工具...
【观成科技】APT组织常用开源和商业工具加密流量特征分析
GCKJ_0824的博客
11-01 1485
在分析 APT 组织使用的开源和商业工具的加密通信特征后,我们能够更好的掌握这些工具的行为模式和通信特征,从而为APT攻击的检测提供新的线索。随着网络攻击手段的不断演变,我们的检测和防御措施也必须持续改进,在此过程中,对加密通信流量的分析将成为防御策略的核心,帮助我们应对不断变化的APT威胁。接下来,观成科技安全研究团队将继续追踪和分析APT组织使用的开源和商业工具,以保持对最新威胁的警觉,并不断优化检测方法,以适应变化的攻击手段,进一步守护加密网络空间的安全。编码的数据,每次发送的心跳内容保持不变。
APT级攻击溯源:从流量分析到攻击者画像》
有什么问题,评论区开口,又问必答
03-03 219
APT溯源本质 = 数据采集 × 模式识别 × 情报关联↓线索碎片 → 攻击链重建 → 身份锁定下期剧透ROP链构造绕过DEP保护利用Use After Free漏洞实现权限提升编写内核级Rootkit的技术要点。
如何在数秒之内破解APT28流量?
weixin_33749131的博客
09-19 388
本文讲的是如何在数秒之内破解APT28流量?, 安全公司Redsocks最近发布了一个有趣的报告,解密了如何在几秒钟内破解APT28流量。 在2016年年底,Redsocks就曾对APT28所使用过的过期域( expired domain)的安全性进行过研究,APT28利用这些过期域的攻击受到加密通信通道的阻碍。虽然许多关于APT28的研究组织,如ES...
网络信息安全之APT攻击
热门推荐
学而思(xiejava的blog)
04-02 1万+
当今,网络系统面临着越来越严重的安全挑战,在众多的安全挑战中,一种具有组织性、特定目标以及长时间持续性的新型网络攻击日益猖獗,国际上常称之为APT(Advanced Persistent Threat高级持续性威胁)攻击。
Windows统计分析进程流量工具AppNetworkCounter
王教主的博客
09-01 3816
下载地址:link AppNetworkCounter是一个用于Windows的简单工具,它统计并显示系统上每个应用程序发送和接收的TCP/UDP字节数和数据包数。对于每个应用程序,将显示以下信息:发送和接收字节数、发送和接收数据包数、发送/接收IPv4字节数、发送/接收IPv6字节数以及发送/接收速度。它还显示应用程序的版本信息-产品名称、产品版本、文件说明和软件公司名称。 导出报告: 支持字段: 应用程序名称:应用程序的.exe文件名。 应用程序路径:应用程序的完整路径。 Received Bytes
APP性能测试工具Emmagee的使用总结
陈如水的专栏
06-05 1万+
待完善中 Emmagee是网易杭州研究院QA团队开发的一个简单易上手的Android性能监测小工具,主要用于监控单个App的CPU,内存,流量,启动耗时,电量,电流等性能状态的变化,且用户可自定义配置监控的频率以及性能的实时显示,并最终生成一份性能统计文件。   实现原理 1、监控应用CPU原理 Android系统是基于Linux内核的,所以系统文件的结构
rx文件管理_4款神仙级文件管理器,秒杀Windows自带管理器!
weixin_39983427的博客
12-08 5238
Windows自带文件管理器,只能够满足我们日常的基础需求,但是你要一款功能更强,颜值更高的文件管理器,不妨试试这4款,我相信它能给你带来全新体验。1.RX文件管理器 RX文件管理器是一款透明化的Windows10文件管理器,其官网分为试用版和付费版,付费版需要15刀了(美元),但是官方说法是:“试用版的主体功能与正式版无异,且无任何时间限制,您可自主选择是否购买正式版”。通俗说就是不要钱。该文件...
网络流量分析——NPMD关注IT运维、识别宕机和运行不佳进行性能优化。智能化分析是关键-主动发现业务运行异常。科来做APT相关的安全分析...
djph26741的博客
05-04 1872
科来 做流量分析,同时也做了一些安全分析(偏APT)——参考其官网:http://www.colasoft.com.cn/cases-and-application/network-security-analysis.php 安全防御的能力取决于安全感知能力 随着互联网的飞速发展,IT基础架构、移动互联网等技术的发展和变化,外部网络安全状况日趋...
linux流量跟踪命令
07-15
它需要额外安装(如`sudo apt install iftop`),适合高精度流量分析。 **基本用法**: ```bash sudo iftop -i eth0 # 监控eth0接口的实时流量 ``` 输出中,源/目标IP、带宽使用率(如KB/s)清晰可见。 6. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值