SSL通信和域前置

最新推荐文章于 2025-09-26 15:28:03 发布
原创 最新推荐文章于 2025-09-26 15:28:03 发布 · 1.4k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

域前置结合SSL通信使得恶意程序的C&C检测变得困难,因为真正的目标地址被隐藏在高可信域名下,通过HTTPS加密请求进行隐藏。在样本分析中,可以通过断点和堆栈信息发现域前置的主机。恶意程序可以绕过系统API直接调用内核函数,利用各种通信方法随协议演进而发展。

​​域前置是服务器支持的一种技术,大家可以把它看成是转发的技术。这种技术和SSL组合到一起检测的难度直接变高,恶意程序真正连接的C&C很难辨别。

恶意程序可以向一个高可信的域名发送请求,使用https协议向它发送请求,发送请求的时候把真正要访问的地址写到hosts里。
在这里插入图片描述

当恶意程序把这个数据发到了支持前置域名转发的域前置服务器上以后,这个服务器会根据hosts里填写的地址将请求进行转发。C&C的IP只有转发它的服务器才知道,这种技术给我们带来的最大困难就是没有办法检测。

在这里插入图片描述
上图程序向可信域名发起DNS请求

加密数据传输
在这里插入图片描述
样本分析过程
在这里插入图片描述

想知道C&C是什么我们在关键函数下一个断点,在堆栈里能看到它的hosts,红框是它真正的主机,这就是一个域前置。

要想发起一个网络的数据,可以不依赖任何的系统API(WindowsAPI实际上分两部分,一是应用层,二是内核层) 。

应用层API相当于是内核层这些函数的一个接口,它仅仅是一个接口做一些域处理,然后他通过sysenter中断指令直接调用内核函数。

通信实现方式总结

最低0.47元/天 解锁文章
模拟攻击者利用“域前置”(Domain Fronting)技术逃避审查(重定向、CDN)
墨痕诉清风的博客
06-03 2428
域前置”发生在应用层,主要适用了HTTPS协议进行通信通信中的远程端点原本是被禁止的,通过使用“域前置”技术,让检测器误认为是一个其他的合法地址,进而绕过检测。根据我们的了解,目前针对域前置的最常见的检测方法是在配置一个中间人HTTPS 代理,通常被称为 “SSL Termination”,它的作用是解密检测通信中所有的加密流量。本文重点介绍一下“域前置”(Domain Fronting,也被意译为“域名幌子”)技术的基本原理适用场景,国内在这方面的资料不多,抛砖引玉,欢迎大家交流讨论。
免费域名cs的域前置上线
课嗨教育的专栏
05-13 1207
目录 注册域名 注册邮箱 注册域名 国内各个公司大佬都习惯用自己的.com或者.cn、.net域名上线,早年各位白嫖的时候都知道有tk域名是免费域名,还有那种免费空间建站。这里用到的就是免费域名tk域名。其他免费域名需要各位自己查找~ http://www.jm.cn/?t=xx_8486 或者可以百度搜索: https://www.baidu.com/baidu?tn=monline_4_dg&ie=utf-8&wd=.tk%E5%9F%9F%E5%90%8D%E5%85%8
【红队APT】反朔源隐藏&C2项目&CDN域前置&云函数&数据中转&DNS转发
今天是几号的博客
04-19 4858
区别于单纯的CDN隐藏IP技术;域前置技术采用高权重域名进行伪装,效果要更上一层楼!可以看到这里正常上线,也是简单的进行流量代理,这里我把上面的iptables转发配置清空了,避免干扰 注: 如果中转服务器被拿下的话,那么搜集信息很可能就可以发现请求重定向的痕迹,从而找到真实C2地址。 请求重定向也可以之前的CDN方法相结合,之前CDN方法是通过CDN将请求转发到真实的C2服务器上,而添加请求重定向后,流程就变为了CDN转发到中转服务器,中转服务器再转到C2,达到双重隐藏的效果。
“偷天换日”的网络隐身术:深入剖析域前置(Domain Fronting)攻防
最新发布
专注于网络安全攻防技术与安全运营(SecOps)实践。
09-26 806
域前置(DomainFronting)是一种通过HTTPS请求多层域名伪装流量的技术,将恶意通信伪装成对高信誉CDN(如Google、AWS)的访问。该技术利用TLS SNI与HTTP Host头的差异绕过审查,曾广泛用于隐私工具APT攻击。主流云服务商已通过SNI与Host头一致性校验封堵此技术,但防御仍需TLS解密、行为分析等纵深检测手段。本文剖析其原理、现状与防御方案,强调该技术的双刃剑属性,仅供安全研究防御使用。
域渗透前置知识
weixin_30722589的博客
07-06 484
在介绍具体的域渗透之前,有些基础知识是必须要先说的。首先Windows自带的cmd命令先过一遍,可以找个ntcmds.chm来学习下,这个在windows 2003上面是自带的,也可以网上下载。20082012又新增了一些命令,具体可以去微软的网站上在线看https://technet.microsoft.com/zh-cn/library/cc772390(v=ws.10).as...
域前置技术详解:隐蔽通信技术精髓
weixin_31746149的博客
08-06 3614
域前置(Domain Fronting)是一种利用HTTPS的CDN(内容分发网络)或其他代理服务器进行网络请求隐藏的技术。它的主要目的是绕过防火墙,隐藏真实的通信目标。以下是域前置的工作原理应用场景:工作原理:HTTPS握手:客户端向CDN发送HTTPS请求,在TLS握手阶段使用一个允许通过防火墙的域名(前置域名)。S...
活动目录域的组建
04-24
1. **设置虚拟机的IP**:为了确保所有服务器能够正常通信,首先需要手动配置每台服务器的IP地址DNS设置。 2. **创建域控制器**: - 在服务器管理器中选择“添加角色功能”,并选择Active Directory Domain ...
2022年数据接口域更名工具.ppt
11-03
在数字化时代的背景下,网络技术的迅猛发展使得数据接口域更名工具成为网络管理维护中不可或缺的组成部分。2022年,随着网络环境的日趋复杂,这些工具对于确保网络安全、提升网络性能优化网络功能的重要性...
2022年数据接口域更名工具(1).ppt
11-03
2022年数据接口域更名工具(1).ppt
win2003-AD域.ppt
10-12
此外,活动目录使用轻量目录访问协议(LDAP)进行通信,该协议定义了客户端与目录服务之间的通信方式,允许应用程序查询修改存储在目录中的信息。 在活动目录的设置管理过程中,DNS(域名系统)服务是不可或缺...
域前置技术的原理与CS上的实现
热门推荐
Shanfenglan's blog
08-02 35万+
原理 参考资料:域前置技术的原理以及在CS上的实现 假设有两个主机,域名分别为www.a.com与www.b.com。这两个主机都是被ip为1.1.1.1的cdn进行加速的。 这时候使用curl命令请求cdn 1.1.1.1,并自定义host段为www.b.com的话。就会返回www.b.com的页面。 命令为:curl 1.1.1.1 -H "Host: www.b.com" -v 同理请求同样的cdn,但是将host改为www.a.com,这时候就会返回A页面的信息。 如果将curl 后请求的ip改为
域前置技术
干铮的博客
03-15 6048
域前置(Domain Fronting) 基于HTTPS通用规避技术,也被称为域前端网络攻击,这是一种用来隐藏Metasploit,Cobalt Strike 等团队控制服务器流量以此来一定程度绕过检查器或防火墙检测的技术,如 Amazon ,Google,Akamai 等大型厂商会提供一些域前端技术服务。 域前置技术原理 通过CDN节点将流量转发到真实的C2服务器,其中CDN节点ip通过识别请求的Host头进行流量转发。利用我们配置域名的高可信度,我们可以设置一个微软或者谷歌的子域名,可以有效的..
【溯源反制】CDN&域前置&云函数-流量分析|溯源
今天是几号的博客
05-12 5506
1、不备案的域名+禁用不必要的域名解析记录(防止被溯源收集到更多信息)2、使用HTTPS通讯3、C2服务器混淆基础特征-修改profile配置文件,修改ssl证书4、CS服务端防火墙做策略,仅允许目标主机网段连接,防止其他网段主机对其进行扫描,防溯源5、加跳板、代理等,当然最重要的是免杀了……
156-反溯源隐藏&C2项目&域前置&云函数&数据中转&DNS转发
dreamer292的博客
10-08 1622
总体来看几种隐藏方式各有应用场景,个人认为云函数在实战中可能效果比较好一些,当然那个域前置如果能搞到一个高信任的域名前置那肯定效果更好。不过要把隐藏完好还得仔细的研究一下cs的profile的写法去自定义特征。
域前置通信过程溯源思路
博客地址 www.sec0nd.top
08-08 2674
当天下午收到了一个评论,是询问关于涉及文中提到域前置技术,是否达到了完美的隐藏了ip,是否真的无法溯源。对于这个问题,我没有考虑好,接连回了三条,后来又被我删了。因为也是第一次接触域前置这个东西,打算写一篇关于域前置的文章来解释我的理解,同时下午晚上也翻看了一些文章,也有了一些新的理解。域前置可以躲避安全设备一般的人为发现从流量角度来说,是无法找出的(公钥加密目前还不太好破解),但是可以从其他角度入手。...
cobaltstrike域前置
网络安全。
11-01 5745
给cobaltstrike加域前置是一项非常简单而有用的技术,cobaltstrike有了域前置可以大大提升其隐蔽性,同时也保护了我们cobaltstrike服务端的真实ip,增加了防守方反制的难度。 cobaltstrike域前置 1、登录腾讯云,开启cdn服务。 添加高可信域名。 回源地址设置为vps地址。 添加成功。 2、修改profile文件图中两处,指定Host使得CDN把请求转发到我们的服务器。 https://github.com/rsmudge/Malleable-C2-Profil
域前置Cobalt Strike逃避IDS审计
m0_50526465的博客
05-10 1864
域前置Cobalt Strike逃避IDS审计 域前置简介 域前置(Domain Fronting)基于HTTPS通用规避技术,也被称为域前端网络攻击技术。 这是一种用来隐藏Metasploit、Cobalt Strike等团队控制服务器流量,以此来一定程度绕过检查器或防火墙检测的技术,如Amazon、Google、Akamai等大型厂商会提供一些域前端技术服务。 域前置技术原理(CDN分发) 通过CDN节点将流量转发到真实的C2服务器,其中CDN节点IP通过识别请求的HOST头进行流量转发,利用我们配置域
windchill 策略
06-17
我们正在讨论Windchill中的策略(Policy)域(Domain)的配置与管理。策略用于控制对象的行为(如生命周期状态转换、权限管理等),而域则用于组织管理对象(如文档、部件)的存储访问。由于用户询问的是...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值