1.概述 近年来，勒索软件组织的作业链条逐渐从“加密数据->收取赎金”转变到“数据窃取->加密数据->暗网披露窃取数据大小和内容描述->收取赎金”[1]。勒索软件组织在获取到受害者的访问权限后，不会立刻进行勒索，而是进行横向移动、数据窃取等操作，从受害环境中窃取大量敏感、机密信息，用于二次勒索。当受害者不愿意支付赎金时，攻击者会在网络上进行数据泄露来威胁受害者支付赎金。这种攻击模式被称为“双重勒

一、工具介绍 Xiebro是由Golang和 .NET编写，提供支持的多人和多服务器 C2/后开发框架。它支持多种通信协议，包括TCP、websocket等，并且在客户端与Xiebro服务器之间的通信通常采用AES加密来保障安全性和隐蔽性。 二、工具原理分析 Xiebro C2工具在生成木马时AES密钥硬编码在木马中，木马与C2服务器通信使用AES算法来加密通信内容,流程见下图。 图1

工具介绍 Covenant是一个基于.NET的开源C2服务器，可以通过HTTP/HTTPS 控制Covenant agent，从而实现对目标的远程控制。Covenant agent在与C2通信时，使用base64/AES加密载荷的HTTP隧道构建加密通道。亦可选择使用SSL/TLS标准加密协议，但需自行准备证书，此工具并没有C&C服务端默认SSL证书。 工具原理分析 工作流程 利用Co