利用Domain Borrowing对抗流量检测设备

背景Domain Borrowing是腾讯安全玄武实验室的安全研究员 Tianze Ding 和 Junyu Zhou 在Black Hat Asia 2021演讲中分享介绍的一种使用 CDN 隐藏 C2 流量以规避审查的新方法。借用在某些 CDN 实现中发现的一些技巧，将它们链接在一起以“借用”域及其有效的 HTTPS 证书来隐藏我们的 C2 流量，特别是当我们的 C2 流量的 SNI 和 HOST 相同时。自研究议题的后一个星期我们就应用到了日常的攻防演练和红队评估项目中去，效果不错，以后不打算参与攻防演练和红队评估中去了，所以跟大家分享一下，希望可以帮助到读者。对抗，什么叫对抗？我们首先得先要知道蓝队和安全设备是怎么定义一个流量为正常或恶意的以及目前上常用的流量隐藏方法都有什么不足。怎么定义一个流量为正常或恶意？这里我们可以分为2个部分来分析：1.相对于安全设备来说判断一个流量是否为 ………………………………