红队基础建设之Domain Fronting

简介

Domain Fronting（域前缀），是一种隐藏真实C2服务器IP且同时能伪装为与高信誉域名通信的技术。

• 技术原理图

原理

Domain Fronting的核心技术主要是利用了CDN

举例

• nslookup

两个网站使用的是同一个CDN

• 请求klst.96jm.com (301状态)

< HTTP/1.1 301 Moved Permanently
< Server: Tengine
< Date: Sat, 21 Mar 2020 05:58:57 GMT
< Content-Type: text/html
< Content-Length: 278
< Connection: keep-alive
< Location: https://klst.96jm.com/
< Via: cache4.cn899[,0]
< Timing-Allow-Origin: *
< EagleId: 3cddc21815847703378007817e
<
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html>
<head><title>301 Moved Permanently</title></head>
<body bgcolor="white">
<h1>301 Moved Permanently</h1>
<p>The requested resource has been assigned a new permanent URI.</p>
<hr/>Powered by Tengine</body>
</html>
* Connection #0 to host klst.96jm.com left intact

• 请求 www.shhorse.com.cn （403状态）

< HTTP/1.1 403 Forbidden
< Server: Tengine
< Content-Type: text/html
< Content-Length: 597
< Connection: keep-alive
< Cache-Control: no-cache
< x-alicdn-da-ups-status: endOs,0,403
< Via: cache11.l2cm12-6[50,0], cache2.cn899[86,0]
< Timing-Allow-Origin: *
< EagleId: 3cddc21615847703796571626e
<
<html>
<head>

• 请求CDN

curl klst.96jm.com -H "www.shhorse.com.cn" -v

实践

配置CDN

• Tips

但由于某云有一个有趣的特点：当 CDN 配置中的源 IP 为自己云的服务器时，加速时会跳过对域名的检验，直接与配置中的域名绑定的源服务器IP进行通信。利用该特性，我们不需要真正去申请 CDN 时所填写的域名中配置解析相应的 CNAME 了。换言之，只要我们的C2服务器属于该云的服务器，那么我们就无需申请域名，只需要在申请 CDN 时随便填一个没有人绑定过的域名就好了，而且这个域名我们可以填成任何高信誉的域名，例如xxx.microsoft.com.

• 申请CDN

马赛克处是你c2的IP

• 过几分钟查看状态

配置CobaltStrike

• 配置C2 profile

• WebLog查看请求

• 添加一个监听器

Agent Generator

• 下载地址

https://codeload.github.com/mdsecactivebreach/CACTUSTORCH/zip/master

• 加载

• 生成

• 执行

• 查看通讯

Netstat -an

发现是与CDN进行通讯，隐藏了真实的c2

参考

“`
https://www.anquanke.com/post/id/195011
“`