红队的木马流量分析

收到某红队钓鱼,好家伙不跳chrome官方跳到阿里oss???

红队的木马流量分析_第1张图片
image.png

下载分析一波,初始化加载后会继续下载一个exe

红队的木马流量分析_第2张图片
image.png

放机子里运行外链到该地址


红队的木马流量分析_第3张图片
image.png

cs马额...


红队的木马流量分析_第4张图片
image.png

继续分析word.exe,该程序为伪造word文档图标的Cobalt Strike加载器。通过C&C交互下载后续载荷,内存解密Beacon远控木马执行。

红队的木马流量分析_第5张图片
image.png

当前tls层链接ip均为cdn,以此方式隐藏真实IP。域前置发送host为search.baidu.com。

image.png

整个流程差不多这样子:

红队的木马流量分析_第6张图片
image.png

目标太复杂了....估计vpn是公安提供的.....没后续 再见ntmd
域前置所使用CDN服务器
221.230.142.27:443
43.243.235.149:443
117.12.41.16:443
111.170.8.210:443
163.171.210.190:443
110.188.68.242:443
域前置Host

你可能感兴趣的:(红队的木马流量分析)