绕过Cylance：第二部分——使用DNSCat2

David Fletcher //

以下技术方法展示了在特定Cylance防护环境中建立C2（命令与控制）通信的途径。测试前未检查集中式基础设施和终端代理的配置。该环境可能存在配置错误，且可能不符合Cylance基础设施部署的最佳实践。然而根据我们的经验，配置错误并不罕见，且往往会对环境的整体安全态势造成灾难性影响。这就是我们在接受其声称的防护等级前需要测试部署的原因。此外，这些文章也说明了深度防御的必要性——在每个成功建立C2的实例中，二级或三级控制措施本应（且应该）补偿初始控制的失效。分层防御是任何环境保护的关键要素，组织必须面对没有信息安全银弹的事实。第一部分使用VSAgent.exe的内容请参阅此处。

DNSCat2（GitHub工具获取链接）

DNSCat2——下一个非传统的Cylance绕过方法涉及使用DNSCat2 C2工具。该工具通过DNS查询和响应作为传输机制建立DNS隧道C2通道。在本实例中，使用默认参数（启用加密）执行工具时可建立初始连接，但连接立即被终止。

然而，如以下所示，在禁用加密的情况下启动服务器可实现会话建立。

再次说明，Cylance工具未检测到该工具的执行和C2通道建立。与VSAgent类似，通过正确实施的应用程序白名单技术本可阻止此工具的执行。

准备好深入学习？
通过Antisyphon的实惠课程提升您的技能！
支持随需付费的培训模式
提供实时/虚拟和点播课程

相关阅读
绕过Cylance：第一部分——使用VSAgent.exe
绕过Cylance：第三部分——Netcat和Nishang的ICMP C2通道