利用 ZoomEye 追蹤多種 Redteam C&C 后滲透攻擊框架

通過采樣觀察，這個搜索語法得到的結果有不少誤報：比如Cobalt Strike的返回頭信息里是沒有"Server:"頭的，也沒有"Connection:"等頭，這里我們可以通過-運算(not運算)進行排除,通過嘗試我們發現"Server"這個關鍵詞在于ssl等信息里直接運算可能導致漏報，所以我們這里直接使用"Connection:"的not運算，最終搜索語法如下：

"HTTP/1.1 404 Not Found Content-Type: text/plain Date:" +"Content-Length: 0" -"Connection:"

上面我們提到Cobalt Strike在3.13版本的時候修復了“異常空格bug”的同時也修改了默認返回的http頭：（直接復制的黑哥文章里的內容）

? curl http://x.x.x.x:8001/ -v

- Rebuilt URL to: http://x.x.x.x:8001/
- Trying x.x.x.x…
- TCP_NODELAY set
- Connected to x.x.x.x port 8001 (#0)

> GET / HTTP/1.1
Host: x.x.x.x:8001
User-Agent: curl/7.54.0
Accept: /

< HTTP/1.1 404 Not Found
< Date: Thu, 26 Mar 2020 13:19:16 GMT
< Content-Type: text/plain
< Content-Length: 0
<

可以看到返回的http有內容順序進行變動：Date:頭提前了，所以之前的搜索語法是沒辦法直接工作了，那么我們按上面提到套路稍微改變下試一下，因為ZoomEye匹配模式不會去考慮回車換行的問題，我們把banner整理為一行：

HTTP/1.1 404 Not Found Date: Fri, 10 Apr 2020 07:16:27 GMT Content-Type: text/plain Content-Length: 0

因為時間是變化的所以分割一下：

HTTP/1.1 404 Not Found Date:
Fri, 10 Apr 2020 07:16:27
GMT Content-Type: text/plain Content-Length: 0

我們直接取1 +3搜索，并繼續使用 -"Connection:"繼續排除，得到最終搜索語法：

"HTTP/1.1 404 Not Found Date:" +"GMT Content-Type: text/plain Content-Length: 0" -"Connection:"

大家如果有興趣可以去推特等上找一些開源情報信息驗證一下。

這里需要說明下這個主要是根據NanoHTTPD的返回頭進行識別的尤其是針對Cobalt Strike 3.13之前的版本，所以有可能其他的設備也使用NanoHTTPD這個組件也會被識別出來形成誤報，另外在黑哥發布方法后有很多的Cobalt Strike使用團隊開始修改了配置進行偽裝，這個也是我這里需要提醒紅隊注意在使用Cobalt Strike的時候只是修改了證書啥的配置，那是遠遠不夠的。

2、Meterpreter

Metasploit 的 Meterpreter 其實常用的方式有tcp也有http(s)的模式，在ZoomEye上有現成Metasploit相關的規則（提示：在搜索框里輸入Metasploit及可關聯出所有的Metasploit相關的app）：

app:"Metasploit Rex httpd" app:"Metasploit meterpreter metsvc" app:"Metasploit meterpreter" app:"Metasploit browser_autopwn"

這幾個規則大多是基于tcp的方式的，并不是這次主要目標。也就是http(s)的方式是我們今天的目標，在2019年的一篇文章里有國外的研究員提到了一個方法，這個方法有點類似Cobalt Strike上面的方法[4]，都是從http(s)服務返回特征入手，這里我們看一下msf的相關代碼 lib/msf/core/handler/reverse_http.rb#L82 [5]

    OptString.new('HttpUnknownRequestResponse',
      'The returned HTML response body when the handler receives a request that is not from a payload',
      default: '<html><body><h1>It works!</h1></body></html>'
    ),

返回特征也很明顯，于是嘗試搜索："<html><body><h1>It works!</h1></body></html>"

3、Empire

相比Cobalt Strike及Metasploit，可能Empire知名度稍微差那么一點點，不過目前也是有不少人在使用，在這里我需要說明一下我之前是沒有用過這個東西的所以就不多做其他評價了，本文主要是介紹怎么通過ZoomEye去搜索這些框架，我這里不想現成單獨去安裝一個去獲取指紋，那還有其他套路可以走？

這里我介紹一個很常用的套路：“從其他搜索引擎語法到ZoomEye搜索語法”。再此之前我留意到一個著名FireEye公司的研究者的的一個PPT[7]（這里需要說明下的是這個PPT的主題和本文其實一樣的，本文的下面的一些研究的包括Empire等框架目標也是參考了這個PPT）另外順帶說一下題外八卦：

這個PPT里的主題和本文其實是一個主題，之前黑哥也在他的知識星球“黑科技”里吐槽過，大意是說他這個PPT里使用的套路尤其是Cobalt Strike那部分是有參考了本文開始提到黑哥的那些研究內容的，而且全篇直接忽視了來自中國的ZoomEye，看來川普同學覆蓋面還是很廣的！

回歸正題，在這個ppt里提到了一個Empire的shodan搜索語法：

這里利用的背后的原理也類似上面Metasploit Meterpreter提到的問題，這里Empire是想偽裝成為IIS服務器，但是因為使用空格、tab的區別導致跟真正的IIS頁面不一致導致的，所以國外的研究人員都喜歡從比對這個角度去想辦法。那么我們怎么從Shodan這個語法轉化為ZoomEye的搜索語法呢？首先我們通過Shodan搜索結果找到如下banner：

HTTP/1.0 200 OK
Content-Type: text/html; charset=utf-8
Content-Length: 682
Cache-Control: no-cache, no-store, must-revalidate
Pragma: no-cache
Expires: 0
Server: Microsoft-IIS/7.5
Date: Wed, 19 Aug 2020 08:33:52 GMT

細心的人可以發現：真假IIS頁面的主要區別在html里空格與tab的區別，那為什么你只關注http頭呢？其實這個問題上面的例子就用過了那就是 "Content-Length: 682 "，頁面內容長度變化都體現在http頭Content-Length上，對于正常的IIS7的返回Content-Length 我們可以通過ZoomEye搜索:

<title>IIS7</title> [https://www.zoomeye.org/searchResult?q=<title>IIS7</title>](https://www.zoomeye.org/searchResult?q=%3Ctitle%3EIIS7%3C/title%3E)

正常的為"Content-Length: 689", 而且Empire的返回頭的內容及順序是相對固定的，IIS7本身很多設置相關而有變化，所以我們繼續老套路提取http頭特征：

"HTTP/1.0 200 OK Content-Type: text/html; charset=utf-8 Content-Length: 682 Cache-Control: no-cache, no-store, must-revalidate Pragma: no-cache Expires: 0"

4、SpiderLabs Responder

5、PoshC2

這里順帶提一句：證書搜索很可能出現覆蓋不全的情況，這個例子里本身搜索出來的結果不太多所以不是很明顯，所以遇到其他的例子可以先通過證書搜索的到返回的banner后，再根據提取banner特征去搜索匹配。

總結

1、主動掃描探測及網絡空間搜索引擎可以協助我們追蹤識別各種攻擊者痕跡，也非常認同黑哥提出來的“動態測繪”的觀點，通過動態測繪關聯各種數據可以更加完善攻擊者畫像，比如上文里介紹的幾個框架都是歷史上多個APT組織使用過的框架。目前從火眼等多個公司的文章來看，有更多的安全關注到主動掃描及網絡空間搜索引擎在APT追蹤領域的應用。

2、對于紅隊來說應該注意到C2服務器的安全，尤其這些滲透攻擊框架的默認配置需要做修改，以免被主動掃描追蹤。

3、對于藍隊來說網絡空間搜索引擎也是威脅情報的來源之一，我們能提前獲取某些C2 IP并監控拉黑，或許有意想不到的發現。

參考