绕过Cylance：第二部分——使用DNSCat2

David Fletcher //

以下技术方法展示了在特定Cylance保护环境中获取命令控制（C2）通信的途径。测试前未检查集中式基础设施和终端代理的配置。该环境可能存在配置错误，且可能不符合Cylance基础设施部署的最佳实践。然而，根据我们的经验，配置错误并不罕见，且往往对环境的整体安全态势造成灾难性后果。这就是为什么我们在接受其声称的保护级别之前测试部署的原因。此外，这些文章说明了深度防御的必要性。在每次成功建立C2的实例中，二级或三级控制本可以（且应该）弥补初始控制的失败。分层防御是任何环境中保护的关键要素，组织必须面对信息安全没有银弹的事实。参见第一部分使用VSAgent.exe的内容此处。

DNSCat2（在GitHub获取此工具）

DNSCat2——下一个非传统的Cylance绕过方法包括使用DNSCat2 C2工具。该工具通过DNS建立C2通道，并使用查询和响应作为其传输机制。在此实例中，该工具可以使用默认参数（使用加密）执行，并建立了初始连接。然而，连接立即被终止。

但是，在不使用加密的情况下启动服务器会导致会话建立，如下所示。

再次，Cylance工具未检测到使用此工具的执行和C2通道建立。与VSAgent一样，此工具的执行本可以通过正确实施的应用白名单技术来阻止。

准备好了解更多？
通过Antisyphon的实惠课程提升您的技能！
支持随付随训的培训
提供实时/虚拟和点播方式

相关阅读
绕过Cylance：第一部分——使用VSAgent.exe | 绕过Cylance：第三部分——Netcat和Nishang ICMP C2通道