【蓝队技能】【C2流量分析】MSFCSSliver

蓝队技能

---

---

总结

---

前言

不同C2工具的流量特征都有细微差别，学会分析方法后就可以进行分析

---

一、MSF

1.1 流量分析

MSF流量特征过于明显，看如下这篇文章即可
MSF流量分析

1.2 特征提取

1. 结果以明文方式显示在流量中（TCP明文）
2. 响应流量中存在MZ，DOS等特殊字段(TCP密文)
   
3. 固定的请求头和响应头（HTTP）
4. 固定的JA3和JA3S的特征值（HTTPS）

二、CS

1.1 流量分析

首先上线CS，然后进行抓包

1.2 特征提取

HTTP：

1. 固定的数据包头

GET /cx HTTP/1.1
Accept: */*
Cookie: bdzPTdzddRyt8AtQGdzr+KRL8ELTYDxGwRBe1bbadiMeqzoQv8RzS+WrkPvInIXiUun/YnVPlpkrKLYgeGSrI8Dth0UMYPqZopauQTHqvQ5tRxOTQGiA2i8RIsArr5L1UEnFQEcLRXBmZ+QbR+Qizq+rIfUxxoxJMoeIckJNSdw=
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; Avant Browser)
Host: 192.168.189.128:1111
Connection: Keep-Alive
Cache-Control: no-cacheHTTP/1.1 200 OK
Date: Wed, 16 Oct 2024 12:42:39 GMT
Content-Type: application/octet-stream
Content-Length: 0

2. 路径的checksum8算法(路径算出来是92或者93)
   

public class EchoTest {public static long checksum8(String text) {if (text.length() < 4) {return 0L;}text = text.replace("/", "");long sum = 0L;for (int x = 0; x < text.length(); x++) {sum += text.charAt(x);}return sum % 256L;}public static void main(String[] args) throws Exception {System.out.println(checksum8("Yle2"));}
}

3. 心跳包解析
   
   

获取文件后使用工具进行分析（https://github.com/DidierStevens/DidierStevensSuite）

HTTPS
4. 证书特征(.store)

5. 源码特征(ja3,ja3s)
client hello 4d5efa96609dc906f796e63cff009c2a db36bad574044a5104a59b0c676991ef
server hello 15af977ce25de452b96affa2addb1036 2253c82f03b621c5144709b393fde2c9
CS详细流量分析

二、Sliver

1. 特征分析

HTTP:

1. 路径特征：server\configs\http-c2.go
2. 固定url路径
3. 参数名称的构造规律
4. 参数值的长度及规律
5. sessionID/Cookie的交换
6. Cookie的名称生成、cookie值的长度及规律

根据路径文件名，后缀，cookie这些信息到源码里面的数组随机组合配合分析排查

HTTPS:

1. ja3/ja3s(19e29534fd49dd27d09234e639c4057e,f4febc55ea12b31ae17cfb7e614afda8)

---