【防溯源】如何通过域名 + CDN 完美隐藏你的 C2

Posted 2023-04-28

参考技术A 文章来 源： 渗透攻击红队

C2 隐藏

对于一个攻击者来说，被防守方发现是一件很可耻的事情，更别说被溯源到了个人信息。本篇文章主要写如何隐藏 C2，我这里用 CobaltStrike 来做演示，这种方式是利用成本最少最高效的，毕竟能白嫖域名和CDN，这种方式还能够避免被一些威胁情报平台溯源到真实的 VPS IP，打 hvv 够用了。

域名 + CDN = 隐藏 CobaltStrike Server

前期准备

首先需要去 freenom.com 注册一个域名，在注册的时候需要挂美国的代理，而且个人账号信息也需要填写为美国的信息！

具体参考这篇文章：https://mp.weixin.qq.com/s/4LDpKKMuOHNSPxWrkv3tFA

注册完成后就可以看到注册的域名了：

之后在 cloudflare.com 注册一个账号，然后添加一个域名，就是刚刚组册的域名，然后选择最下面的：

然后来到 DNS 处，找到该 CDN 的 DNS：    

填入到 freenom：

之后来到 Cloudflare 缓存处开启一下，这样访问免费域名就不会出现访问延迟等情况：

最后添加一个解析 A 记录到自己的 VPS，名称就是域名、内容就是 VPS 的 IP 地址：

添加完成后就可以 ping 域名看看是否配置成功：

超级 Ping 发现 CDN 也配置完毕，没有 VPS 的真实 IP：   

上线到  CobaltStrike 成功隐藏 IP

之后我们来到 VPS Server，启动一下 teamserver，客户端连接 C2：

在这之后新建一个监听器为 http 的，然后 Hosts 和 Beacons 都设置为域名：

注意 http port 端口只能设置成以下几个：

80,8080,8880,2052,2082,2086,2095

如果是 https 的监听端口只能设置成以下几个：

443,2053,2083,2087,2096,8443;

因为这是 Cloudflare 仅支持的端口，所以没办法把监听器设置成其他端口。

最后生成一个 exe 上线看看：

最后分析网络连接发现连接的 IP 已经是 CDN 的 IP 地址：

通过微步在线沙箱分析发现成功隐藏了 C2 的真实 IP:

这种方式能够在一定程度上防止被 BT 溯源到真实的 IP 地址，即使溯源到了真实的 VPS 的 IP，毕竟是匿名的 VPS ，除非反制拿到了 ROOT，否则也是无济于事。

网站加速之CDN与回源

参考技术A 在常见的请求场景中，往往十之八九都是来自于资源的访问,那么如何将服务器里的资源js.,css,jpg等静态资源完美的平滑迁移到cdn上，让cdn应对资源的访问，从而减轻对服务器的压力呢？

CDN+OSS+回源服务器

1.申请域名
2.获得一个SSL证书
3.申请一个OSS

第一步:
我们在七牛申请一个OSS对象存储的空间:

第二步:
将其绑定一个域名:

第三步:
1.等待txt验证

第四步:
1.等cdn域名验证通过,将cdn回源到我们开始创建的im-oss空间

至此就完成了cdn与oss的配置，具体流程是 用cdn域名访问静态资源后,如cdn服务器上没有该资源将立即回源到oss,请求oss对象存储里的资源,如果oss也没有该资源,oss将立即回源访问我们的原始服务器抓取文件并存储到oss,并缓存到cdn服务器