黑客们最近利用开源的Pyramid渗透测试工具，建立隐蔽的命令与控制（C2）通信。Pyramid于2023年首次在GitHub上发布，是一个基于Python的后渗透框架，旨在绕过终端检测与响应（EDR）工具。

Pyramid工具的技术特性

Pyramid的轻量级HTTP/S服务器功能使其成为恶意攻击者减少检测风险的首选工具。它利用Python在许多环境中的合法存在，通过基于Python的HTTP/S服务器传递文件，并作为攻击操作的C2服务器。

该框架还包括直接加载知名工具（如BloodHound、secretsdump和LaZagne）到内存中的模块。Hunt.io的安全分析师指出，这种内存执行方式允许操作者在已签名的Python解释器上下文内行动，可能绕过传统的终端安全措施。

Pyramid README截图 (来源 – Hunt.io)

检测Pyramid服务器的机会

识别Pyramid服务器涉及分析特定的网络特征。当与疑似Pyramid服务器交互时，响应头会显示出以下独特特征：

`Server: BaseHTTP/0.6 Python/3.10.4 Date: WWW-Authenticate: Basic realm="Demo Realm" Content-Type: application/json`

服务器还会返回一个JSON响应体：

`{ "success": false, "error": "No auth header received" }`

Pyramid C2 HTTP 401响应 (来源 – Hunt.io)

最近的扫描已识别出多个与Pyramid服务器相关的IP地址，包括104.238.61[.]144、92.118.112[.]208和45.82.85[.]50。这些服务器与一家名为DevaGroup的网络营销服务的域名相关联，尽管目前尚未发现恶意样本。

Pyramid C2服务器追踪 (来源 – Hunt.io)

检测技术细节

• HTTP状态码: 401 Unauthorized
• 响应体哈希值 (SHA-256): 54477efe7ddfa471efdcc83f2e1ffb5687ac9dca2bc8a2b86b2 53cdbb5cb9c84
• 服务器头: BaseHTTP/0.* Python/3.*
• 认证和内容头: WWW-Authenticate: Basic realm=”Demo Realm” 和 Content-Type: application/json

这些参数可用于构建结构化查询，以识别与Pyramid相关的基础设施，从而增强网络安全防御。通过关注认证挑战、响应头和特定的错误信息，防御者可以提高检测的准确性，并减少误报。

随着开源攻击性安全工具的不断发展，追踪类似的实现将为新基础设施提供早期预警，并完善检测方法。

参考来源：

Hackers Using Pyramid Pentesting Tool For Stealthy C2 Communications

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途，否则一切后果请用户自负。

本站信息来自网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序，请支持正版，购买注册，得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解！

程序来源网络，不确保不包含木马病毒等危险内容，请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱：4ablog168#gmail.com（#换成@）