RedGuard是一款C2设施前置流量控制技术的衍生作品,可以避免Blue Team,AVS,EDR,Cyberspace Se
RedGuard是一款C2设施前置流量控制技术的衍生作品,可以避免BlueTeam,AVS,EDR,CyberspaceSearchEngine的检查。它有着更加轻量的设计、高效的流量交互、以及使用go语言开发具有的可靠兼容性。它所解决的核心问题也是在面对日益复杂的红蓝攻防演练行动中,给予攻击队更加优秀的C2基础设施隐匿方案,赋予C2设施的交互流量以流量控制功能,拦截那些“恶意”的分析流量,更好的完成整个攻击任务。应用场景攻防演练中防守方根据态势感知平台针对C2交互流量的分析溯源根据JA3指纹库识别防范云沙箱环境下针对木马样本的恶意分析阻止恶意的请求来实施重放攻击,实现混淆上线的效果在明确上线服务器IP的情况下,以白名单的方式限制访问交互流量的请求防范网络空间测绘技术针对C2设施的扫描识别,并重定向或拦截扫描探针的流量支持对多个C2服务器的前置流量控制,并可实现域前置的效果实现负载均衡上线,达到隐匿的效果能够通过请求IP反查API接口针对根据IP地址的归属地进行地域性的主机上线限制在不更改源码的情况下,解决分阶段checksum8规则路径解析存在的强特征。通过目标请求的拦截日志分析蓝队溯源行为,可用于跟踪对等连接事件/问题具有自定义对样本合法交互的时间段进行设置,实现仅在工作时间段内进行流量交互的功能MalleableC2Profile解析器能够严格根据malleableprofile验证入站HTTP/S请求,并在违规情况下丢弃外发数据包(支持MalleableProfiles4.0+)内置大量与安全厂商相关联的设备、蜜罐、云沙箱的IPV4地址黑名单,实现自动拦截重定向请求流量可通过自定义工具与样本交互的SSL证书信息、重定向URL,以规避工具流量的固定特征..........#工具
