Day 2 | 最囂張的10個CS登場，IOC附上

作為每年演練的當紅炸子雞，rt有多愛CS，bt就有多恨CS。我們通過資產測繪發現，過去幾個月有效的CS服務器還真不少：

CS馬廣泛分布在各朵云上（但騰某云你是怎么回事）：

分布的城市也和本次演練的主戰場高度重合：

微步通過針對Team Server的通信掃描、請求Beacon staging server獲取Beacon的配置信息的掃描和DNS隧道掃描等多達十余種方法對Cobalt Strike進行掃描識別，能夠明顯彌補單一方式對Cobalt Strike識別的不足，資產測繪數據的識別覆蓋領先國內外同行的類似平臺，持續不斷的為社區和微步客戶提供優質的威脅情報數據。

開打第2天，作為rt最喜歡的遠控武器，CS相關的告警果不其然快速登頂，我們綜合了情報和資產測繪，統計了過去3天全網最為活躍的Top 10的CS域名，情報如下！

service-015bci0f-1251065511.bj.apigw.tencentcs.com

service-2ct860nd-1312989509.sh.apigw.tencentcs.com

service-5dttvfnl-1253933974.sh.apigw.tencentcs.com

service-dxdbo6jr-1311332457.sh.apigw.tencentcs.com

service-k6z1uk8b-1307545782.sh.apigw.tencentcs.com

service-dxkujbtv-1305051246.sh.apigw.tencentcs.com

service-6i8t3bv3-1313041668.bj.apigw.tencentcs.com

service-eph9s167-1309846149.bj.apigw.tencentcs.com

service-baw5g4iz-1309608249.bj.apigw.tencentcs.com

wlanquna.club

此外，我們已經按照ATT&CK模型框架從資源開發、執行、持久化、命令與控制等幾個步驟，結合微步X情報社區資產測繪產品組件的識別，梳理了攻防對抗中常用的五種類型工具：資產指紋掃描和漏洞掃描工具、郵件釣魚平臺、自動化滲透測試平臺、內外網隧道工具以及用于遠程命令行控制工具，以下是常用工具的搜索語法，可轉需，可先馬后用！