APT34的rx.exe工具 流量分析报告

最新推荐文章于 2025-08-22 14:45:00 发布
原创 最新推荐文章于 2025-08-22 14:45:00 发布 · 517 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了APT34工具包里用于远程执行的模块,其原型是IntelliAdmin Remote Execute v1.0。说明了使用方法,分析了流量情况,如不同执行场景下TCP包和SMB2包的间隔规律。还给出检测方案,包括基于载荷和统计的检测方法。

工具概述

此工具是APT34工具包里的一个模块,原型是IntelliAdmin Remote Execute v1.0。用于远程执行。

使用方法

rx.exe -h [host] -u [user] -p [pass] [option] [filename] [arguments]

使用效果:
使用192.168.120.232远程主机上的cmd.exe
效果截图:
在这里插入图片描述
流量分析
1.协议协商和会话建立
在这里插入图片描述
2.连接到admin$共享
在这里插入图片描述
3.复制IntelliAdminRPC文件夹和rx.exe文件
在这里插入图片描述
4.连接到IPC共享
在这里插入图片描述
5.命令执行时的数据流量情况
如果不在CMD中执行命令,会在每2个TCP包中间隔12个SMB2包;如果在远程主机中的CMD中执行命令,则变成每2个TCP包中间隔3个SMB2包。且第一个SMB2包和第三个SMB2包会在DATA里面携带将要执行的命令。
在这里插入图片描述
在这里插入图片描述
6.明文返回远程执行的结果
在这里插入图片描述

检测方案

基于载荷的检测方法:
特征字符:IntelliAdminRPC、rx.exe、各种命令明文和返回执行结果的明文。
通过检测445端口,过滤携带特征字符信息数据包的ip地址。

基于统计的检测方法:
根据445端口或者根据ip地址统计TCP包和SMB2包
重点关注在2个TCP数据包之间间隔12个SMB2包的发送方ip地址。尤其是当收到明文命令的SMB2数据包后,TCP之间间隔的SMB2数据包变成了3个,并且会在之后的第一个TCP数据包后通过SMB2数据包返回执行结果明文。

22、网络分析工具Wireshark的全面解析与安装指南
bean的博客
07-25 52
本文详细解析了网络分析工具Wireshark的功能、应用场景及安装指南。内容涵盖网络嗅探与检测技术、Wireshark的特性与高级嗅探技术、防范网络嗅探的方法,以及在不同操作系统上的安装流程和注意事项。同时,还提供了常见问题的解决方案和Wireshark使用后的验证步骤,是一篇全面了解和掌握Wireshark的实用指南。
Linux 装机必备的危机工具(Crisis Tools)
山河已无恙
08-18 1155
博文内容整理自博客对作者谈到的危机工作做简单说明理解不足小伙伴帮忙指正 😃,生活加油99%的焦虑都来自于虚度时间和没有好好做事,所以唯一的解决办法就是行动起来,认真做完事情,战胜焦虑,战胜那些心里空荡荡的时刻,而不是选择逃避。不要站在原地想象困难,行动永远是改变现状的最佳方式危机工具列表。
Paper Note - 分析大量网络流量以进行APT检测
When you collect everything, you understand nothing.
02-20 1982
原文标题:Analysis of high volumes of network traffic for Advanced Persistent Threat detection 原文作者:Mirco Marchetti, Fabio Pierazzi∗, Michele Colajanni, Alessandro Guido Department of Engineering “Enzo Fe...
创宇猎幽APT流量监测系统获CSTC年度网络安全优秀案例
知道创宇KCSC
03-09 606
创宇猎幽APT流量监测系统(NDR)凭借出色的行业场景实践和出众的产品表现力,成功入选中国软件评测中心“2022 年度网络安全优秀案例”!
apt 恶意软件流量匹配表
cnbird's blog
09-11 1117
https://docs.google.com/spreadsheet/ccc?key=0AjvsQV3iSLa1dDFfWHduQlA5THBRd081eFhsZThwUlE#gid=0
APT34泄露工具的分析——HighShell和HyperShell
Eagle_pompom的专栏
04-25 1297
0x00 前言 最近APT34的6款工具被泄露,本文作为分析文章的第二篇(第一篇文章回顾),仅在技术角度对其中的HighShell和HyperShell进行分析。 参考资料: https://malware-research.org/apt34-hacking-tools-leak/amp/ 0x01 简介 本文将要介绍以下内容: · 对HighShell的分析 ·对HyperSh...
揭秘网络安全:高级持续攻击的克星——流量检测与响应流程
weixin_43172311的博客
04-24 929
在当今数字化时代,网络已经成为我们生活和工作不可或缺的一部分。然而,随着网络的普及,网络安全问题也日益严峻,高级持续攻击(APT)等威胁不断涌现。那么,我们该如何抵御这些复杂的攻击呢?今天就来给大家介绍一种流量检测与响应的安全机制。
基于DPDK的Java SNMP协议还原与流量分析
开发者无需关心底层C语言实现的复杂性,只需引入对应的JAR包即可调用相关方法获取实时流量分析结果。比如可以通过`PacketSessionReader`类遍历还原后的TCP流,或者通过`SNMPEventCollector`监听特定OID的访问行为。...
【应急响应工具教程】流量嗅探工具-Tcpdump
solarset的博客
02-21 932
Tcpdump 是一款命令行数据包嗅探工具,能够直接从文件或网络接口捕获并解析数据帧。它适用于任何类 Unix 操作系统。Tcpdump是一款功能强大的命令行数据包嗅探工具,支持从网络接口实时捕获或从文件解析数据包。作为Unix/Linux系统的标准网络诊断工具,它无需图形界面即可通过终端或SSH等远程连接进行操作,尤其适合服务器环境使用。该工具基于pcap和libpcap库实现底层数据捕获,通过将网卡设置为混杂模式,能够监听整个局域网内所有设备的通信流量,而不仅限于当前主机的目标数据。
网络流量监控工具vnstat工具的安装和使用
最新发布
lonelyhb的博客
08-22 583
vnstat是一款轻量级命令行网络流量监控工具,支持实时监控网卡流量,提供小时、日、月、年等多周期统计。安装简单,可通过包管理器或源码编译部署。主要功能包括流量统计、数据可视化、低资源消耗运行等。常用命令包括查看流量摘要(vnstat)、小时统计(vnstat-h)、月度汇总(vnstat-m)等,支持生成ASCII图表和导出JSON/XML数据。配置文件可自定义数据单位和重置周期,适用于服务器带宽分析、流量异常检测等场景。常见问题处理包括数据更新、多网卡监控等,通过man手册或官方文档可获取更多帮助。
NanoCore RAT流量分析报告
DFMASTER的博客
05-30 1735
使用方法 1.运行根目录下的NanoCore.exe,在Builder里设置Host为攻击机ip与利用端口,默认端口为53896 2.设置监听端口,默认有1337、160553896 3.等待受控靶机执行生成的木马即可上线 检测方案 1.可检测从53896端口传递的心跳包,时间间隔为1s、2s或者3s 2.检测端数据包占比,数据包长度40-159的占比为97.51% 3.当远控工具...
【观成科技】APT组织常用开源和商业工具加密流量特征分析
GCKJ_0824的博客
11-01 1612
在分析 APT 组织使用的开源和商业工具的加密通信特征后,我们能够更好的掌握这些工具的行为模式和通信特征,从而为APT攻击的检测提供新的线索。随着网络攻击手段的不断演变,我们的检测和防御措施也必须持续改进,在此过程中,对加密通信流量的分析将成为防御策略的核心,帮助我们应对不断变化的APT威胁。接下来,观成科技安全研究团队将继续追踪和分析APT组织使用的开源和商业工具,以保持对最新威胁的警觉,并不断优化检测方法,以适应变化的攻击手段,进一步守护加密网络空间的安全。编码的数据,每次发送的心跳内容保持不变。
如何通过网络流量分析识别和防御高级持续性威胁
图幻未来的博客
05-12 1125
随着互联网的普及和发展,网络攻击手段也在不断升级。高级持续性威胁(APT)是一种针对特定目标的网络攻击方式,通常具有隐蔽性、持续性、针对性和复杂性等特点。在网络攻防战争中,如何有效地识别和防御APT成为了一个亟待解决的问题。本文将从网络流量分析的角度出发,探讨如何识别和防御APT,以保护网络安全。
APT级攻击溯源:从流量分析到攻击者画像》
有什么问题,评论区开口,又问必答
03-03 1024
APT溯源本质 = 数据采集 × 模式识别 × 情报关联↓线索碎片 → 攻击链重建 → 身份锁定下期剧透ROP链构造绕过DEP保护利用Use After Free漏洞实现权限提升编写内核级Rootkit的技术要点。
如何在数秒之内破解APT28流量?
weixin_33749131的博客
09-19 429
本文讲的是如何在数秒之内破解APT28流量?, 安全公司Redsocks最近发布了一个有趣的报告,解密了如何在几秒钟内破解APT28流量。 在2016年年底,Redsocks就曾对APT28所使用过的过期域( expired domain)的安全性进行过研究,APT28利用这些过期域的攻击受到加密通信通道的阻碍。虽然许多关于APT28的研究组织,如ES...
网络流量分析——NPMD关注IT运维、识别宕机和运行不佳进行性能优化。智能化分析是关键-主动发现业务运行异常。科来做APT相关的安全分析...
djph26741的博客
05-04 1936
科来 做流量分析,同时也做了一些安全分析(偏APT)——参考其官网:http://www.colasoft.com.cn/cases-and-application/network-security-analysis.php 安全防御的能力取决于安全感知能力 随着互联网的飞速发展,IT基础架构、移动互联网等技术的发展和变化,外部网络安全状况日趋...
APP性能测试工具Emmagee的使用总结
陈如水的专栏
06-05 1万+
待完善中 Emmagee是网易杭州研究院QA团队开发的一个简单易上手的Android性能监测小工具,主要用于监控单个App的CPU,内存,流量,启动耗时,电量,电流等性能状态的变化,且用户可自定义配置监控的频率以及性能的实时显示,并最终生成一份性能统计文件。   实现原理 1、监控应用CPU原理 Android系统是基于Linux内核的,所以系统文件的结构
网络信息安全之APT攻击
热门推荐
学而思(xiejava的blog)
04-02 1万+
当今,网络系统面临着越来越严重的安全挑战,在众多的安全挑战中,一种具有组织性、特定目标以及长时间持续性的新型网络攻击日益猖獗,国际上常称之为APT(Advanced Persistent Threat高级持续性威胁)攻击。
网站/APP 流量分析、用户访问分析
あずにゃん梓喵的博客
05-12 1万+
数据仓库设计 网站/APP 流量分析、用户访问分析 网站/APP 流量分析、点击流分析、用户访问分析 网站埋点+网站日志自定义采集系统+nginx的相关安装 2.本项目中数据仓库的设计(注:采用星型模型) 1.事实表设计 2.维度表设计 注意: 维度表的数据一般要结合业务情况自己写脚本按照规则生成,也可以使用工具生成,方便后续的关联分析。 比如一般会事前...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值