绕过Cylance防护：第二部分——使用DNSCat2

David Fletcher

以下技术展示了在特定Cylance防护环境中建立C2通信的方法。测试前未检查集中式基础设施和终端代理的配置。该环境可能存在配置错误，可能不符合Cylance部署的最佳实践。但根据我们的经验，配置错误并不罕见，且往往会对环境整体安全态势造成灾难性影响。这就是我们在接受其声称的保护级别前进行测试的原因。此外，这些案例也说明了深度防御的必要性——在每个成功建立C2的实例中，二级或三级控制措施本应（且应该）弥补初始控制的失效。分层防御是任何环境中的关键保护要素，组织必须认清信息安全没有"银弹"的事实。第一部分使用VSAgent.exe的案例见此。

DNSCat2（GitHub工具链接）

DNSCat2作为另一种非传统绕过手段，通过DNS查询/响应机制建立C2信道。测试发现：

1. 使用默认参数（启用加密）执行时，初始连接虽可建立但会立即终止
2. 关键突破：当服务器禁用加密时，会话成功建立（如下图所示）

Cylance工具仍未检测到该工具的执行和C2信道建立。与VSAgent案例相同，正确的应用程序白名单技术本可阻止此攻击。

防御建议：

• 实施严格的应用程序白名单
• 监控异常DNS流量模式
• 启用多层级防御控制措施

延伸学习：
Antisyphon提供可负担的进阶培训课程（支持随需/直播形式）

← 第一部分：使用VSAgent.exe | 第三部分：Netcat与Nishang的ICMP C2信道 →