APT34的rx.exe工具 流量分析报告

最新推荐文章于 2025-03-03 10:00:00 发布
最新推荐文章于 2025-03-03 10:00:00 发布
阅读量493 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 内网工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/DFMASTER/article/details/90700478
本文介绍了APT34工具包里用于远程执行的模块,其原型是IntelliAdmin Remote Execute v1.0。说明了使用方法,分析了流量情况,如不同执行场景下TCP包和SMB2包的间隔规律。还给出检测方案,包括基于载荷和统计的检测方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

工具概述

此工具是APT34工具包里的一个模块,原型是IntelliAdmin Remote Execute v1.0。用于远程执行。

使用方法

rx.exe -h [host] -u [user] -p [pass] [option] [filename] [arguments]

使用效果:
使用192.168.120.232远程主机上的cmd.exe
效果截图:
在这里插入图片描述
流量分析
1.协议协商和会话建立
在这里插入图片描述
2.连接到admin$共享
在这里插入图片描述
3.复制IntelliAdminRPC文件夹和rx.exe文件
在这里插入图片描述
4.连接到IPC共享
在这里插入图片描述
5.命令执行时的数据流量情况
如果不在CMD中执行命令,会在每2个TCP包中间隔12个SMB2包;如果在远程主机中的CMD中执行命令,则变成每2个TCP包中间隔3个SMB2包。且第一个SMB2包和第三个SMB2包会在DATA里面携带将要执行的命令。
在这里插入图片描述
在这里插入图片描述
6.明文返回远程执行的结果
在这里插入图片描述

检测方案

基于载荷的检测方法:
特征字符:IntelliAdminRPC、rx.exe、各种命令明文和返回执行结果的明文。
通过检测445端口,过滤携带特征字符信息数据包的ip地址。

基于统计的检测方法:
根据445端口或者根据ip地址统计TCP包和SMB2包
重点关注在2个TCP数据包之间间隔12个SMB2包的发送方ip地址。尤其是当收到明文命令的SMB2数据包后,TCP之间间隔的SMB2数据包变成了3个,并且会在之后的第一个TCP数据包后通过SMB2数据包返回执行结果明文。

Linux 装机必备的危机工具(Crisis Tools)
山河已无恙
08-18 1024
博文内容整理自博客对作者谈到的危机工作做简单说明理解不足小伙伴帮忙指正 😃,生活加油99%的焦虑都来自于虚度时间和没有好好做事,所以唯一的解决办法就是行动起来,认真做完事情,战胜焦虑,战胜那些心里空荡荡的时刻,而不是选择逃避。不要站在原地想象困难,行动永远是改变现状的最佳方式危机工具列表。
Network 之四 常用 Linux 网络命令及网络调试工具介绍
技术干货
03-07 4318
相关知识 命令类号   在我们查阅一些命令的说明文档或者看某些 Linux 书的时候,常会看到 ifconfig(8)、conect(2)、select(2) 等等这样的写法。后面的这个括号及数字其实 man 手册的标准要求(表示 man 的章节号)。不同的数字表示命令的类型。使用 man man 可以进行查看: 1: 可执行程序或者 shell 命令。又叫用户命令, 可由任何人使用 2: 系统调用, 即由内核提供的函数 3: 库函数 4: 设备及特殊文件(/dev目录下) 5: 文件格式描述, 例如
Paper Note - 分析大量网络流量以进行APT检测
When you collect everything, you understand nothing.
02-20 1865
原文标题:Analysis of high volumes of network traffic for Advanced Persistent Threat detection 原文作者:Mirco Marchetti, Fabio Pierazzi∗, Michele Colajanni, Alessandro Guido Department of Engineering “Enzo Fe...
创宇猎幽APT流量监测系统获CSTC年度网络安全优秀案例
知道创宇KCSC
03-09 573
创宇猎幽APT流量监测系统(NDR)凭借出色的行业场景实践和出众的产品表现力,成功入选中国软件评测中心“2022 年度网络安全优秀案例”!
apt 恶意软件流量匹配表
cnbird's blog
09-11 1100
https://docs.google.com/spreadsheet/ccc?key=0AjvsQV3iSLa1dDFfWHduQlA5THBRd081eFhsZThwUlE#gid=0
APT34泄露工具的分析——HighShell和HyperShell
Eagle_pompom的专栏
04-25 1262
0x00 前言 最近APT34的6款工具被泄露,本文作为分析文章的第二篇(第一篇文章回顾),仅在技术角度对其中的HighShell和HyperShell进行分析。 参考资料: https://malware-research.org/apt34-hacking-tools-leak/amp/ 0x01 简介 本文将要介绍以下内容: · 对HighShell的分析 ·对HyperSh...
NanoCore RAT流量分析报告
DFMASTER的博客
05-30 1674
使用方法 1.运行根目录下的NanoCore.exe,在Builder里设置Host为攻击机ip与利用端口,默认端口为53896 2.设置监听端口,默认有1337、160553896 3.等待受控靶机执行生成的木马即可上线 检测方案 1.可检测从53896端口传递的心跳包,时间间隔为1s、2s或者3s 2.检测端数据包占比,数据包长度40-159的占比为97.51% 3.当远控工具...
linux监测网络流量小工具-iftop、ifstat、nload
等待着雨水,茁壮成长--李建敏
12-16 3877
有的时候我们部署了项目之后会对性能进行测试,影响性能的原因多方面,比如前端后端的代码是否足够优美,架构是否足够合理,带宽是否足够支撑,今天这三个小工具就是可以帮助我们查看在压测时,服务器的网络流量的输入和输出来帮助我们进行一个判断 写在前面的话(如果对linux很熟悉了可以直接略过): 这个小软件的安装非常非常的简单,但是如果不注意,即使很简单的过程基本也是一波三折:(我一linux cent
网络流量分析与调优:Linux下的网络性能监控艺术
网络流量分析是网络管理的核心内容,旨在识别、记录、分析和报告网络中传输的数据。分析这些数据可以帮助网络管理员了解网络使用情况、诊断问题、优化网络性能,甚至在安全事件发生时做出快速响应。 ## 为什么需要...
【Linux流量分析】:SNMP服务在网络性能监控中的关键作用
通过流量分析,我们可以更深入地了解Linux系统在实际运行中的网络性能,如吞吐量、延迟和连接状态等关键指标。这种分析对于确保网络的高效运行、及时发现和解决问题以及优化网络资源配置都具有极其重要的意义。 ## ...
【观成科技】APT组织常用开源和商业工具加密流量特征分析
GCKJ_0824的博客
11-01 1386
在分析 APT 组织使用的开源和商业工具的加密通信特征后,我们能够更好的掌握这些工具的行为模式和通信特征,从而为APT攻击的检测提供新的线索。随着网络攻击手段的不断演变,我们的检测和防御措施也必须持续改进,在此过程中,对加密通信流量的分析将成为防御策略的核心,帮助我们应对不断变化的APT威胁。接下来,观成科技安全研究团队将继续追踪和分析APT组织使用的开源和商业工具,以保持对最新威胁的警觉,并不断优化检测方法,以适应变化的攻击手段,进一步守护加密网络空间的安全。编码的数据,每次发送的心跳内容保持不变。
APT级攻击溯源:从流量分析到攻击者画像》
有什么问题,评论区开口,又问必答
03-03 156
APT溯源本质 = 数据采集 × 模式识别 × 情报关联↓线索碎片 → 攻击链重建 → 身份锁定下期剧透ROP链构造绕过DEP保护利用Use After Free漏洞实现权限提升编写内核级Rootkit的技术要点。
如何通过网络流量分析识别和防御高级持续性威胁
图幻未来的博客
05-12 1058
随着互联网的普及和发展,网络攻击手段也在不断升级。高级持续性威胁(APT)是一种针对特定目标的网络攻击方式,通常具有隐蔽性、持续性、针对性和复杂性等特点。在网络攻防战争中,如何有效地识别和防御APT成为了一个亟待解决的问题。本文将从网络流量分析的角度出发,探讨如何识别和防御APT,以保护网络安全。
如何在数秒之内破解APT28流量?
weixin_33749131的博客
09-19 382
本文讲的是如何在数秒之内破解APT28流量?, 安全公司Redsocks最近发布了一个有趣的报告,解密了如何在几秒钟内破解APT28流量。 在2016年年底,Redsocks就曾对APT28所使用过的过期域( expired domain)的安全性进行过研究,APT28利用这些过期域的攻击受到加密通信通道的阻碍。虽然许多关于APT28的研究组织,如ES...
网络流量分析——NPMD关注IT运维、识别宕机和运行不佳进行性能优化。智能化分析是关键-主动发现业务运行异常。科来做APT相关的安全分析...
djph26741的博客
05-04 1816
科来 做流量分析,同时也做了一些安全分析(偏APT)——参考其官网:http://www.colasoft.com.cn/cases-and-application/network-security-analysis.php 安全防御的能力取决于安全感知能力 随着互联网的飞速发展,IT基础架构、移动互联网等技术的发展和变化,外部网络安全状况日趋...
APP性能测试工具Emmagee的使用总结
陈如水的专栏
06-05 1万+
待完善中 Emmagee是网易杭州研究院QA团队开发的一个简单易上手的Android性能监测小工具,主要用于监控单个App的CPU,内存,流量,启动耗时,电量,电流等性能状态的变化,且用户可自定义配置监控的频率以及性能的实时显示,并最终生成一份性能统计文件。   实现原理 1、监控应用CPU原理 Android系统是基于Linux内核的,所以系统文件的结构
网络信息安全之APT攻击
热门推荐
学而思(xiejava的blog)
04-02 1万+
当今,网络系统面临着越来越严重的安全挑战,在众多的安全挑战中,一种具有组织性、特定目标以及长时间持续性的新型网络攻击日益猖獗,国际上常称之为APT(Advanced Persistent Threat高级持续性威胁)攻击。
网站/APP 流量分析、用户访问分析
あずにゃん梓喵的博客
05-12 1万+
数据仓库设计 网站/APP 流量分析、用户访问分析 网站/APP 流量分析、点击流分析、用户访问分析 网站埋点+网站日志自定义采集系统+nginx的相关安装 2.本项目中数据仓库的设计(注:采用星型模型) 1.事实表设计 2.维度表设计 注意: 维度表的数据一般要结合业务情况自己写脚本按照规则生成,也可以使用工具生成,方便后续的关联分析。 比如一般会事前...
linux流量跟踪命令
最新发布
07-15
<think>首先,用户的问题是:“我想查找用于跟踪Linux系统中网络流量的命令 请问Linux 流量跟踪命令有哪些”。这看起来是用户第一次询问,所以我没有之前的回答历史可以参考。系统指令中提到“参考站内引用”,提供了几个引用块,这些是关于Linux网络命令的。 让我回顾这些引用: - 引用[1]: 提到了ifconfig命令,用于网络流量跟踪。它说:“ifconfig 命令 [^1]”,但内容是关于网络接口信息的。 - 引用[2]: 讨论了ping命令,包括各种参数如-i, -c, -f, -s,用于测试网络连通性。 - 引用[3]: 解释了traceroute命令,用于网络路径追踪,但不直接检测ping连通性。 - 引用[4]: 详细描述了traceroute命令的语法、选项和工作原理。 用户的问题是关于“跟踪Linux系统中网络流量的命令”。所以,我需要列出相关的命令。 关键命令包括: 1. **ifconfig**:显示网络接口配置,包括接收和发送的字节数,可以用于监控流量。 2. **ping**:用于测试连通性,但不直接跟踪流量;它发送ICMP包并测量响应时间。 3. **traceroute**:追踪数据包路径,显示中间路由。 4. 其他命令:系统指令中提到“网络流量跟踪”,所以在回答中,我应该包括更多命令如: - **netstat**:显示网络连接、路由表、接口统计等。 - **iftop**:实时显示网络接口的带宽使用情况。 - **nload**:监控网络流量和带宽使用。 - **tcpdump**:抓包工具,用于详细分析网络流量。 - **ip**命令(替代ifconfig):更现代的接口管理工具。 引用中主要提到了ifconfig、ping和traceroute。所以,在回答时,我应该基于这些,但扩展以提供全面的信息。 回答结构: 1. **引言**:简要介绍主题,使用中文。 2. **列出命令**:清晰列出每个命令,解释其用途,并提供示例或语法。 - 确保格式:行内数学表达式用$...$,独立公式用$$...$$(但这里可能不需要数学公式,因为主题是网络命令)。 - 用户要求“回答结构清晰,帮助用户逐步解决问题”。 3. **生成相关问题**:在末尾添加相关问题,使用“§§相关问题§§”格式。 4. **引用**:在回答中自然地添加引用标识,如[^1]。 从引用: - [^1] 对应引用[1],提到ifconfig。 - [^2] 对应引用[2],提到ping。 - [^3] 对应引用[3],提到traceroute。 - [^4] 对应引用[4],详细traceroute。 在回答中,我需要引用这些。 完整回答大纲: - 开头:在Linux系统中,有多种命令可用于跟踪网络流量。这些命令帮助监控数据包的传输、带宽使用和网络性能。 - 命令列表: 1. **ifconfig**:显示网络接口信息,包括接收和发送的流量统计。例如:`ifconfig eth0` 显示eth0接口的详情。[^1] 2. **ping**:测试主机连通性,并可监控响应时间和数据包丢失。常用参数如`-c`指定包数,`-i`指定间隔。[^2] 3. **traceroute**:追踪数据包到目标主机的路径,显示中间路由节点。[^3][^4] 4. **其他命令**:如`netstat`显示网络统计,`iftop`实时监控流量,`tcpdump`抓包分析。 - 由于引用中没有提到这些,我应该基于知识添加,但保持真实可靠。 - 结尾:生成相关问题。 相关问题: 1. 如何安装和使用iftop进行实时流量监控? 2. 使用tcpdump分析网络流量的步骤是什么? 3. 在Linux中,如何优化网络性能以减少延迟? 确保回答真实可靠:基于标准Linux知识。 现在,编写响应。</think>在Linux系统中,跟踪网络流量是网络管理和故障排除的关键任务。系统提供了多种命令行工具,帮助您监控实时流量、分析数据包传输、诊断网络问题。以下是一些常用的Linux网络流量跟踪命令,我将基于标准Linux知识(如Ubuntu、CentOS等发行版)进行解释,并参考相关引用确保准确性。命令用途包括监控带宽使用、追踪数据包路径、测试连通性等。 ### 常用Linux网络流量跟踪命令 1. **`ifconfig` 命令** `ifconfig` 用于显示和配置网络接口信息,包括接收(RX)和发送(TX)的字节数、数据包数等流量统计。它适合快速查看接口的实时流量状态。 **基本语法**: ```bash ifconfig [接口名] # 例如 ifconfig eth0 ``` 输出示例会显示RX/TX字节数,帮助您监控流量变化。例如,在终端运行后,观察"RX bytes"和"TX bytes"字段。 **参考引用**:`ifconfig` 是基础网络命令,常用于获取接口流量数据[^1]。 2. **`ping` 命令** `ping` 测试主机间的连通性,并测量响应时间、丢包率等指标。通过发送ICMP数据包,它可以间接反映网络流量状况,特别适合诊断延迟或拥塞问题。 **常用参数示例**: - `ping -c 5 www.example.com`:发送5个数据包后停止(`-c`指定包数)[^2]。 - `ping -i 2 www.example.com`:每2秒发送一个数据包(`-i`设置间隔)[^2]。 - `ping -s 1024 www.example.com`:设置每个数据包大小为1024字节(`-s`调整包大小),用于模拟高流量场景[^2]。 **注意**:`ping` 不直接显示带宽使用,但能帮助识别流量瓶颈。 3. **`traceroute` 命令** `traceroute` 追踪数据包从源主机到目标主机的路径,显示中间路由节点的IP和响应时间。它用于分析网络路径中的延迟或故障点,是流量跟踪的核心工具。 **基本语法**: ```bash traceroute [选项] 目标主机 # 例如 traceroute google.com ``` **常用选项**: - `-n`:直接显示IP地址而非主机名,加快输出。 - `-m 30`:设置最大TTL(存活时间)为30跳(`-m`控制检测深度)[^4]。 - `-I`:使用ICMP请求代替默认UDP,提高兼容性[^4]。 **参考引用**:`traceroute` 通过逐步增加TTL值来发现路由路径,帮助管理员理解数据包流动[^3][^4]。 4. **`netstat` 命令** `netstat` 显示网络连接、路由表、接口统计等详细信息。它能列出所有活动的TCP/UDP连接及其流量数据,适合监控整体网络使用情况。 **基本语法**: ```bash netstat -i # 显示接口统计,包括RX/TX包数 netstat -s # 显示协议级统计(如TCP重传率) ``` 输出中的"RX-OK"和"TX-OK"字段表示成功接收/发送的数据包数。 5. **`iftop` 命令** `iftop` 是实时带宽监控工具,按主机或连接显示流量使用情况(类似top命令)。它需要额外安装(如`sudo apt install iftop`),适合高精度流量分析。 **基本用法**: ```bash sudo iftop -i eth0 # 监控eth0接口的实时流量 ``` 输出中,源/目标IP、带宽使用率(如KB/s)清晰可见。 6. **`tcpdump` 命令** `tcpdump` 是强大的抓包工具,捕获并分析网络数据包内容。它用于深度流量检查,如协议分析或安全审计。 **基本语法**: ```bash sudo tcpdump -i eth0 port 80 # 捕获eth0接口上80端口(HTTP)的流量 ``` 输出可保存到文件(如`-w capture.pcap`),并用Wireshark进一步分析。 7. **`nload` 命令** `nload` 提供简单的实时流量监控,分接收(RX)和发送(TX)显示带宽图。安装命令:`sudo apt install nload`。 **基本用法**: ```bash nload eth0 # 监控eth0接口的带宽使用 ``` 图形化输出便于快速识别流量峰值。 ### 使用建议 - **入门推荐**:先用`ifconfig`或`netstat`查看基础流量,再用`ping`测试连通性,最后用`traceroute`诊断路径问题。 - **高级分析**:结合`iftop`和`tcpdump`进行实时监控和深度抓包。 - **注意事项**:部分命令(如`tcpdump`)需要root权限(`sudo`)。确保系统已安装相关工具(如未安装`iftop`,运行`sudo apt update && sudo apt install iftop`)。 这些命令覆盖了从基础监控到专业分析的场景,帮助您高效跟踪Linux网络流量。如果您提供具体场景(如诊断高延迟),我可以给出更针对性的示例。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值