文章总结： 文档从攻击者视角分析C2使用自签名证书的对抗思路，主要目的为绕过网络检测和隐藏特征。核心特征包括自签发者身份、固定公钥算法、超长有效期及扩展字段缺失。提出动态生成证书、混淆证书内容、加密包装及合法域名伪装等策略来规避YARA静态检测，强调多维度组合防御的必要性。 综合评分： 78 文章分类： 恶意软件,渗透测试,红队,内网渗透,安全工具

浅析自签名证书对抗思路

原创

花鸟 花鸟

花鸟在线

2026年5月2日 07:20 福建

在小说阅读器读本章

去阅读

从攻击者角度，C2 使用自签名证书主要是为了：

1、绕过网络中间人检测：自签证书在企业环境中可能被信任，因为很多防火墙不严格验证非 CA 证书，或管理混乱。

2、隐藏特征：避免在证书链中出现第三方标识。

自签名证书的核心特征

1、与正常 CA 签发的证书不同，自签名证书的签发者就是自己。YARA可以通过匹配证书内容的字符串。

例如cn=adaptix以此来进行检测

2、固定的公钥算法和长度

例如RSA 2048

3、异常有效期

自签名证书一般设置有效期非常长，例如10年，可作为辅助判断

4、扩展字段缺失

较为典型特征是，CA扩展缺失或者异常

基于防守方的检测维度，如果只是构建单一维度（针对静态检测，动态偏弱或无动态监控）是可以绕过。

YARA 静态规则通常基于固定的字符串或字段（比如 CN=adaptix、固定公钥）。因此存在破绽。

如果让证书每次都能重新生成（字段内容每次都不同），那么原来的规则就无法匹配了。

绕过YARA检测的策略如下：

动态生成证书

1、每次启动 C2 时生成新的 CN、公钥和有效期

2、YARA 基于固定字符串匹配就失效

混淆证书内容

1、对 ASN.1 字段重新排序或插入无关扩展（比如 1.2.3.4.5）

2、改变证书编码方式（DER/PEM），PEM → DER 或反过来，Base64 包装、换行符变化也可能规避文本匹配规则。

加密或包装

1、将证书文件存储加密或压缩，在运行时加载，—>将证书文件 AES 加密或压缩为 .bin

2、YARA 静态扫描无法识别

合法域名伪装

1、CN 或 SAN 使用看似合法的域名而非 adaptix

2、增加误报成本

基本理论就是如此。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：花鸟在线 花鸟 花鸟《浅析自签名证书对抗思路》