1. frp后门简介及其原理简述

frp 是一个可用于构建内网穿透服务的工具。由于它配置简单灵活，支持多平台，红队通常喜欢使用它搭建内网穿透隧道，或把内网端口转发到公网，便于进行下一步内网横向渗透。它包括 frps 用作服务器端和 frpc 用作客户端。以下是 frpc 内网穿透工具的简要介绍：

功能:

内网穿透：通过 frpc 可以将内网服务暴露到公网，使得外部用户可以访问内网服务。

反向代理：frpc 可以用作反向代理，将外部请求转发到内网的不同服务。

端口转发：支持将本地端口映射到服务器上，实现端口转发。

配置简单:

frpc 的配置相对简单，通过编辑配置文件即可完成对内网服务的暴露和映射。

安全性:

支持身份验证、加密等安全机制，确保通信的安全性。

可以通过配置文件限制客户端访问的范围，增强安全性。

跨平台:

frpc 工具可在多种操作系统上运行，包括 Windows、Linux 和 macOS 等。

灵活性:

支持多种连接协议，如 TCP、UDP 等，适用于不同类型的应用场景。

具有较好的扩展性，支持自定义插件和中间件。

2. frp后门快速研判方法/标准

攻击者往往会在被攻陷的机器上留下frpc工具，并通过命令执行。我们的研判分作以下几步。

1) 攻击特征研判

攻击者在使用frp工具时，由于未进行二开的frpc工具文件及执行命令特征明显，我们往往可通过该特征进行确认。

a) 我们可以看到SOC平台的主机安全告警日志中，在威胁描述字段存在命令关键字如frpc,-c xxx.ini等。

b) 在SOC平台主机安全告警日志中，我们可以通过日志提供的进程文件路径名来判断，如文件名带有显著特征的frpc。

c) 我们可以通过将主机安全告警日志字段hash提取出来，并放到威胁情报平台去进行判断，判断是否是frpc工具。

2) 攻击是否为业务导致

由于frp工具不只红队会使用，我们在发现使用这个工具的情况后，仍需交由业务部门来确认是否是他们自主安装的。