介绍
在HV期间,甲方会迅速封锁可疑 IP 来应对红队的攻击,然而 HV 结束后,威胁并不会停止,反而可能变得更加隐蔽。为了应对这些持续的威胁,企业需要依赖社区驱动的威胁情报工具,如 C2 Tracker。C2 Tracker 是一个免费开源的工具,通过集成 Shodan 和 Censys,收集已知恶意软件、僵尸网络和 C2 基础设施的相关 IP 地址,帮助防御者跟踪潜在的威胁。C2 Tracker 的优势在于它可以提供早期预警,并且通过社区的不断更新,保持最新的威胁情报。在 HV 之后,企业需要继续监控网络威胁,并利用 C2 Tracker 等工具进行持续防御,以应对不断演变的威胁。总之,封 IP 只是第一步,持续获取威胁情报并采取防御措施,才能确保企业网络安全。
什么是 C2 Tracker?
C2 Tracker 是一项社区驱动的计划,旨在为网络安全专业人员、研究人员和爱好者提供宝贵的资源,用于识别和跟踪互联网上的恶意活动。通过利用 Shodan 和 Censys(两个强大的互联网连接设备搜索引擎),C2 Tracker 汇总了与各种网络威胁相关的 IP 地址,免费开源
C2 追踪器追踪什么?
追踪这些工具不仅帮助红队整理和优化其攻击方法,提供了如何运用这些工具的实际指南,同时也为企业提供了重要的情报支持,使其能够制定更有效的防护策略和应急响应计划,从而提高整体安全防御能力。了解和监控这些工具的使用情况可以让企业及时发现潜在威胁并采取针对性措施,确保系统和数据的安全。
企业应对威胁情报的实用策略
注意:C2 Tracker 提供的 IP 是潜在的威胁情报来源,但企业应根据具体情况决定如何处理这些信息,而不是简单地全面封锁。
-
威胁评估与验证:首先,对 C2 Tracker 提供的 IP 进行分析,评估这些 IP 是否真的对你的企业构成威胁。例如,你可以将这些 IP 与网络流量进行比对,看看是否有相关活动。仅在确认 IP 具有威胁时,才考虑封锁。 -
避免误封:直接封锁所有 IP 可能会导致误封合法的服务或用户。因此,在封锁之前,最好进行进一步调查,以确保 IP 地址确实与恶意活动相关。 -
分级处理:将威胁 IP 分类为高危、中危和低危,分级处理。对于高危 IP,优先封锁并加强监控;中危和低危 IP 可以作为监控对象,不一定立即封锁,但需要密切关注其活动。 -
持续监控与更新:威胁情报是动态变化的,IP 地址可能会随着时间变化。因此,定期更新和复查这些威胁 IP,确保你的防御策略及时调整。
-
天融信(Topsec):天融信提供威胁情报共享平台,虽然主要是商业服务,但也有部分公开情报资源。适合企业用来获取最新的威胁信息 -
长亭科技(Chaitin Tech):长亭科技的 Radar是一个威胁情报平台,虽然主打商业市场,但他们也提供一些开源工具和免费的威胁情报服务 -
360 网络安全威胁情报中心:360 提供免费的威胁情报共享平台,包含恶意 IP、域名和 URL 的信息,用户可以根据自己的需求查询并进行防御 -
微步在线(ThreatBook):微步在线提供开放的威胁情报查询工具(微步威胁情报中心),用户可以免费查询恶意 IP、域名等信息,并结合企业防护需求使用 - 安恒信息(DBAPPSecurity):安恒信息的安全威胁情报平台提供了一些免费查询服务,虽然与 C2 Tracker 不完全相同,但可以作为威胁情报的补充来源
这些工具用于管理和控制受感染的系统,通常用于渗透测试或恶意活动:
- Cobalt Strike:渗透测试工具,提供 C2 功能
- Metasploit Framework:广泛使用的渗透测试框架,支持 C2
- Covenant:开源的 C2 框架,专注于红队操作
- Mythic:开源的 C2 框架,支持多种攻击模块
- Brute Ratel C4:高级 C2 框架,注重隐蔽性和功能扩展
- Posh:PowerShell-based C2 框架
- Sliver:现代化的 C2 框架,支持多平台
- Deimos:C2 框架,设计用于渗透测试
- PANDA:C2 框架,针对 Windows 环境
- NimPlant C2:用 Nim 语言编写的 C2 框架
- Havoc C2:开源 C2 框架,支持多种攻击方式
- Caldera:自动化红队 C2 框架
- Empire:PowerShell 和 Python 的 C2 框架
- Ares:C2 框架,专注于隐蔽性和安全
- Hak5 Cloud C2:提供云服务的 C2 框架
- Pantegana:C2 框架,专注于 Red Team 操作
- Supershell:高级的 C2 框架,支持多个操作系统
- Poseidon C2:C2 框架,支持多种攻击技术
- Viper C2:专为渗透测试设计的 C2 框架
- UnamWebPanel:Web-based C2 框架
- Vshell:C2 框架,提供命令行接口
- Villain:用于管理渗透测试会话的 C2 框架
- Nimplant C2:C2 框架,注重隐蔽性和功能
-
RedGuard C2:C2 框架,支持多平台攻击
恶意软件
这些恶意软件用于窃取信息、控制受害者系统或执行其他恶意活动:
- AcidRain Stealer:信息窃取器,窃取用户数据
- Misha Stealer (AKA Grand Misha):信息窃取器,收集敏感数据
- Patriot Stealer:窃取个人信息和密码
- RAXNET Bitcoin Stealer:窃取比特币和其他加密货币
- Titan Stealer:窃取敏感信息
- Collector Stealer:信息窃取工具
- Mystic Stealer:窃取各种用户数据
- Gotham Stealer:信息窃取和数据收集
- Meduza Stealer:窃取用户数据和密码
- Quasar RAT:远程访问木马,允许远程控制受害者系统
- ShadowPad:远程访问木马,具有强大的功能
- AsyncRAT:远程访问木马,支持各种恶意操作
- DcRat:远程访问木马,允许攻击者控制系统
- BitRAT:远程访问木马,功能多样
- DarkComet Trojan:远程访问木马,允许攻击者控制受害者计算机
- XtremeRAT Trojan:远程访问木马,功能强大
- NanoCore RAT Trojan:远程访问木马,提供各种控制功能
- Gh0st RAT Trojan:远程访问木马,允许远程控制计算机
- DarkTrack RAT Trojan:远程访问木马,具备隐蔽功能
- njRAT Trojan:远程访问木马,功能多样
- Remcos Pro RAT Trojan:远程访问木马,注重隐蔽性
- Poison Ivy Trojan:远程访问木马,支持各种恶意操作
- Orcus RAT Trojan:远程访问木马,功能丰富
- ZeroAccess Trojan:后门木马,常用于恶意活动
- HOOKBOT Trojan:信息窃取和远程控制
- RisePro Stealer:信息窃取工具
- NetBus Trojan:远程访问木马,提供控制功能
- Bandit Stealer:信息窃取工具
- Mint Stealer:窃取敏感数据
- Mekotio Trojan:信息窃取和远程控制
- Gozi Trojan:金融信息窃取木马
- Atlandida Stealer:信息窃取工具
- VenomRAT:远程访问木马,支持多种恶意操作
- Orcus RAT:远程访问木马
- DcRAT:远程访问木马
- BitRAT:远程访问木马
- BlackDolphin:远程访问木马
- Artemis RAT:远程访问木马
- Godzilla Loader:加载恶意软件的工具
- Jinx Loader:恶意软件加载器
- Netpune Loader:加载恶意软件的工具
- SpyAgent:远程访问木马
- SpiceRAT:远程访问木马
工具
这些工具用于渗透测试、安全评估和密码破解:
- XMRig Monero Cryptominer:加密货币挖矿工具
- GoPhish:钓鱼测试工具
- Browser Exploitation Framework (BeEF):浏览器漏洞利用框架
- BurpSuite:Web 应用安全测试工具
- Hashcat:密码破解工具
- MobSF:移动应用安全测试框架
僵尸网络(Botnets)
这些工具和服务用于创建和管理僵尸网络:
- 7777:僵尸网络工具
- BlackNET:僵尸网络平台
- Doxerina:僵尸网络工具
- Scarab:僵尸网络管理工具
C2 追踪器如何工作?
C2 Tracker 利用 Shodan 和 Censys 的功能扫描互联网,寻找与已知 C2 基础设施、恶意软件和工具相关的特定模式、签名和特征。找到匹配项后,相应的 IP 地址将添加到 C2 Tracker 源中。然后,此源将提供给社区,让用户可以将其集成到他们的安全工具和工作流程中。
社区驱动方面
C2 Tracker 的独特之处之一是其社区驱动的特性。该项目积极鼓励网络安全研究人员和爱好者做出贡献。C2 Tracker 用于识别威胁的许多查询都来自其他 CTI 研究人员,从而营造了共享威胁情报的协作环境。
为什么 C2 追踪器很重要
C2 Tracker 在打击网络威胁中发挥着至关重要的作用,原因如下:
-
早期预警:通过及早识别 C2 基础设施和恶意软件,C2 Tracker 为潜在攻击提供早期预警系统,让防御者采取主动措施。
-
威胁搜寻: C2 Tracker 生成的 IOC 源可用于威胁搜寻,使安全团队能够在其网络和日志中搜索是否存在入侵迹象。
-
研究: C2 Tracker 是网络安全研究人员的宝贵资源,帮助他们了解恶意软件和 C2 基础设施的最新趋势。
开始使用 C2 Tracker
C2 Tracker 是免费的开源软件,任何人都可以使用。该项目托管在 GitHub 上,您可以在其中找到源代码、文档以及如何使用 IOC 源的说明。
总之,C2 Tracker 是一款功能强大的工具,体现了社区驱动的网络安全工作的力量。通过利用 Shodan 和 Censys 的功能并鼓励研究人员之间的合作,C2 Tracker 为识别和缓解网络威胁提供了宝贵的资源。无论您是安全专业人员、研究人员,还是仅仅对网络安全感兴趣,C2 Tracker 都值得探索。
C2 Tracker的Github地址
<code><span class="code-snippet_outer">https://github.com/montysecurity/C2-Tracke</span></code>
转自:https://mp.weixin.qq.com/s?__biz=MzkxNTY3MTE5MA==&mid=2247484730&idx=1&sn=f79fe670a8d6b2453fc55ed4d89e98b3&chksm=c0a35dd598378f17881203dd3f376ae5e1a874409d094916e2350240cef54492c6726f58460d&mpshare=1&scene=1&srcid=0923IWcg88amfurJzERTxikj&sharer_shareinfo=38c910739781c5ccc6c07e90d3919728&sharer_shareinfo_first=38c910739781c5ccc6c07e90d3919728&version=4.1.28.6019&platform=win&nwr_flag=1#wechat_redirect
参考资料:http://www.jinglingshu.wiki/?p=13207
