红队之外网定向打点

来源自2019北京网络安全大会

基础设施架构设计部署

  • 普通架构:红队人员--》teamserver cs--》目标机 缺点:功能未分离、无潜伏通道、回连日志多、灵活性较低

  • 演进架构:DNS/HTTP/HTTPS分离server tips:1~2cpu 2G内存 10G硬盘,回连数不超过5台,潜伏通道(根据实际目标环境优先)

  • 完整架构:域名和IP(VPS)teamserver(CS)前置机(redictor) CS -》teamservers 1/2/3/... 前置层(SMTP/PAYLOAD/C2/隐蔽C2)

选择域名

  • 抢注过期域名 expireddomains.net DELETE DOMAIN

    • tips1: 不要包含世界大厂和杀毒厂商相关的域名,以及和目标相关的域名

    • tips2:注册目标相关区域常见的域名,记得开隐私保护

    • 其他:www.freshdrop.com www.domcop.com

    • tips3:检查域名是否被分类,金融、医疗、电商、航空、旅游 great

    • tips4:去VT、微步检查,域名是否被标黑

    • tips5:举报滥用规则仔细阅读(freenom 慎用)

  • 培养域名(养号)

    • 搭建正常域名,提交至各安全厂商给站点分类

    • tips1:把域名A记录解析到大厂ip,使用时候再解析到C2,不用时候解析回大厂ip

    • tips2:VT 自评, alex 自评

  • 域名解析检测

  • 域名分类检测

    • domaincheck:

  • IP检测

    • 外网IP,通过情报站看是否被标黑

    • 使用CDN隐藏真实IP(部分安全厂商会拦截CDN IP)

  • 借鸡生蛋,

    • subdomain takeover:高信誉域名A解析B -》

    • 高信誉肉鸡做前置转发

  • C2工具

    • 自定义流量特征:DNS/HTTP/HTTPS/SMB和TCP

    • Payload加载流程:shellcode/Loader/Stageless/beacon

    • DNS:如果用到dns通道默认参数必须修改(容易被设备检测),不要用DNS做数据通道

    • HTTP(S):不要在uri中的文件后缀设置js、css等静态文件,效果:付费证书>免费证书>自签名证书 (Let's Encrypt 免费 3个月过期,开自动续)

    • CS 3.14

  • Redirector

    • Office365、Pastebin、Slack、Facebook、Dropbox、Gmail、Twitter..

    • 缺点:需要硬编码到第三方服务

    • 第三方服务用作C2相关资源汇总

    https://pentestarmoury.com/2017/07/19/s3-buckets-for-good-and-evil/ 
https://rhinosecuritylabs.com/aws/hiding-cloudcobalt-strike-beacon-c2-using-amazon-apis/                       
https://github.com/daniel-infosec/wikipedia-c2                       
https://unit42.paloaltonetworks.com/aggah-campaign-bit-ly-blogspot-and-pastebin-used-for-c2-in-large-scale-campaign                       https://www.harmj0y.net/blog/powershell/command-and-control-using-active-directory/                       
https://blog.netspi.com/databases-and-clouds-sql-server-as-a-c2/                       
https://outflank.nl/blog/2017/09/17/blogpost-cobalt-strike-over-external-c2-beacon-home-in-the-most-obscure-ways                       https://labs.mwrinfosecurity.com/blog/tasking-office-365-for-cobalt-strike-c2                       
https://github.com/maldevel/canisrufus                       
https://unit42.paloaltonetworks.com/darkhydrus-delivers-new-trojan-that-can-use-google-drive-for-c2-communications                       https://github.com/byt3bl33d3r/gcat                       
https://github.com/maldevel/gdog                       
https://www.welivesecurity.com/wp-content/uploads/2019/05/ESET-LightNeuron.pdf                       
https://github.com/bkup/SlackShell                       
https://github.com/j3ssie/c2s                       
https://github.com/praetorian-code/slack-c2bot                       
https://github.com/microsoft/skype-dev-bots                       
https://github.com/PaulSec/twittor                       
https://blog.talosintelligence.com/2017/04/introducing-rokrat.html                       
https://www2.fireeye.com/rs/848-DID-242/images/rpt-apt29-hammertoss.pdf                       
https://github.com/woj-ciech/Social-media-c2

    • Google App Engine| Amazon |Azure|Aliyun CDN

    • 可见层:DNS、TLS

    • 不可见层:HTTPS

    • URL(高信誉) SNI(高信誉) HOST(C2)

    • https://github.com/vysecurity/DomainFrontingLists

    • 代替方案:HTTP pipelining( >http 1.1 )

    • 和 domain fronting 效果相同

    • 利用同一个tcp连接发送不同的host的http包

    • tips:good domain + bad domain 包一层同时发过去

    • 建议使用多个判断过来请求,拒绝使用默认uri,对抗全网C2扫描

    • 仅允许目标相关IP访问,对抗云沙盒

    • 限定访问时间段,只在某个时间段请求payload

    • 不要把非payload的uri重定向到google等高信誉域名

    • 建议:在www.aaa.com搭建来养域名,使用c2.aaa.com的二级域名做C2

    • DNS socat|iptables|ssh(tmux和screen选一个)

    • Apache|Nginx

    • Tips:

    • Domain Fronting(隐藏IP、域名的方式)

    • 第三方服务用作C2

  • 邮件钓鱼(SMTP)

    • 域名:同C2域名选择

    • 高信誉的邮件发送者:Mailchimp、Sendgrid

    • 正确配置SPF、DKIM\DMARC

    • SSL证书

    • 发送时间和频率

    • 一键部署

    • 钓鱼邮件框架:Gophish (https://github.com/gophish/gophish)

  • 隐蔽性和安全性

    • 解决方案:V2ray + Nginx + CLoudflare + Freenom+ Websocket 搭建代理

    • 权限最小化:使用iptalbes限定组件通讯,SSH进行端口转发

    • Teamserver:限制端口只能本地访问,限制beacon监听端口只能redirector访问

    • Tips:VPS容易被GFW拦截?

  • 基础设施监控系统

钓鱼样本制作

  • 钓鱼邮件类型

    • 恶意的chm文档:利用easy,但目前比较难过杀软,免杀效果差

    • 带有恶意宏代码的office文档:易于混淆(结合图片模糊之类),但需要手动开宏,进程链可疑

    • 白加黑钓鱼:利用带签名的白程序,通过DLL劫持的方案加载恶意DLL;比较容易过AV,但需要解压执行

    • LNK文件钓鱼:链接对象是Powershell,进程链完善

    • PPT钓鱼样本:PPT超链接,弹出“安全声明”,不用启动宏,但必须全屏播放,启用才执行;不推荐使用

    • 漏洞利用的钓鱼邮件:效率高,同样成本也高

  • 写工具自动化生成恶意lnk,关键函数:

    • IShellLink::SetIconLocation()

    • IShellLink::SetShowCmd() 窗口显示

    • IShellLink::SetArguments()

    • IShellLink::SetPath()

    • ...

  • LNK钓鱼邮件制作

    • 短文件名 POWERS~1.EXE

    • 代码混淆 参考赛门铁克的paper

    • 安全类进程检测

    • 遍历进程,获取进程对应的版权信息,与黑名单列表比对

    • 优点:升级版本也不变,通用

    • 进程名检测

    • 窗口标题检测

    • 虚拟机-取证工具-杀软检测-调试器

    • 常规手法

    • 新姿势

    • 如何根据PID获取进程的全路径:ProcessExplorer

    • x86不太可行,x64可以

    • 绕过PCHunter 0RING hook

    • 检测后行为,通知攻击者,及时善后处理

    • 联网下载Word文档

    • 本地释放Word文档

    • 协议内容还原:tcp、http、smtp

    • 文件内容还原:office、pdf、zip

    • 加壳程序还原:upx

    • 加密算法数据还原:base64

    • (New-Object System.Net.WebClient).DownloadFile(url, file_path);

    • 数据还原引擎

    • 尾部可以追加任意大小的word、PE、PowerShell

    • select -last 1 定位到最后一个对象,以“\n”划分对象

    • select -index 1 也可以

    • ARGUMENT用于LNK中存储命令行参数

    • StringData结构,CountCharacters

    • IShellLink::SetArguments()

    • 塞入数据的最大值是 explorer.exe 对命令行参数长度的限制

    • 实测得出 0x7FC2(31KB)

    • 将Word塞到COMMAND_LINE_ARGUMENTS

    • 将Word塞到lnk文件的尾部(推荐使用)

    • 钓鱼简历的编写:内容可选浮夸,让HR打开看完后大概率删除,防止提给技术人员

    • LNK图标的显示:改成各个系统都能默认显示的通用图标

    • 如何隐藏行为:SetShowCmd() 最小化窗口

    • Word文档存放:

    • 杀软对抗

上一页C2内网穿透策略下一页钓鱼平台搭建及应用

最后更新于