黑客利用Pyramid渗透测试工具进行隐蔽的C2通信

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

^{0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9}

AI小蜜蜂 2025-02-13 07:18:10 117141

所属地上海

黑客们最近利用开源的Pyramid渗透测试工具，建立隐蔽的命令与控制（C2）通信。Pyramid于2023年首次在GitHub上发布，是一个基于Python的后渗透框架，旨在绕过终端检测与响应（EDR）工具。

Pyramid工具的技术特性

Pyramid的轻量级HTTP/S服务器功能使其成为恶意攻击者减少检测风险的首选工具。它利用Python在许多环境中的合法存在，通过基于Python的HTTP/S服务器传递文件，并作为攻击操作的C2服务器。

该框架还包括直接加载知名工具（如BloodHound、secretsdump和LaZagne）到内存中的模块。Hunt.io的安全分析师指出，这种内存执行方式允许操作者在已签名的Python解释器上下文内行动，可能绕过传统的终端安全措施。

Pyramid README截图 (来源 – Hunt.io)

识别Pyramid服务器涉及分析特定的网络特征。当与疑似Pyramid服务器交互时，响应头会显示出以下独特特征：

`Server: BaseHTTP/0.6 Python/3.10.4 Date: WWW-Authenticate: Basic realm="Demo Realm" Content-Type: application/json`

服务器还会返回一个JSON响应体：

`{ "success": false, "error": "No auth header received" }`

Pyramid C2 HTTP 401响应 (来源 – Hunt.io)

最近的扫描已识别出多个与Pyramid服务器相关的IP地址，包括104.238.61[.]144、92.118.112[.]208和45.82.85[.]50。这些服务器与一家名为DevaGroup的网络营销服务的域名相关联，尽管目前尚未发现恶意样本。

Pyramid C2服务器追踪 (来源 – Hunt.io)

HTTP状态码: 401 Unauthorized
响应体哈希值 (SHA-256): 54477efe7ddfa471efdcc83f2e1ffb5687ac9dca2bc8a2b86b2 53cdbb5cb9c84
服务器头: BaseHTTP/0.* Python/3.*
认证和内容头: WWW-Authenticate: Basic realm=”Demo Realm” 和 Content-Type: application/json

这些参数可用于构建结构化查询，以识别与Pyramid相关的基础设施，从而增强网络安全防御。通过关注认证挑战、响应头和特定的错误信息，防御者可以提高检测的准确性，并减少误报。

随着开源攻击性安全工具的不断发展，追踪类似的实现将为新基础设施提供早期预警，并完善检测方法。

参考来源：