目錄
- 前言
- 一、C&C(command and control)
- 1、ICMP
- 2、DNS
- 3、Gmail
- 4、DropBox
- 5、powershell
- 6、Windows COM
- 7、Telegram
- 8、Twitter
- 9、website keyword
- 10、WebDAV
- 11、HTTPS
- 12、Office 365
- 13、kernel
- 14、Website
- 15、WebSocket
- 16、Images
- 17、Web Interface
- 18、WMI
- 19、JavaScript
- 二、Fronting
- 1、Domain Fronting
- 2、Domain Borrowing
- 3、Tor Fronting
- 結語
前言
學習并小結下各種隱匿通道方法
一、C&C(command and control)
1、ICMP
防火墻可以阻止反向和系結 TCP 連接,
然而,大多數時候 ICMP 流量是允許的,故可以將此協議用作隱蔽通道,以獲取 shell 并在目標主機上遠程執行命令
工具:
- icmpsh:https://github.com/bdamele/icmpsh
- PIX-C2:https://github.com/nocow4bob/PiX-C2
2、DNS
在最受限制的環境中,也應允許 DNS 流量決議內部或外部域
這可以用作目標主機和命令和控制服務器之間的通信通道,命令和資料包含在 DNS 查詢和回應中
工具:
- dnscat2:https://github.com/iagox86/dnscat2
- dnscat2-powershell:https://github.com/lukebaggett/dnscat2-powershell
3、Gmail
Gmail 為用戶和企業提供電子郵件功能,這意味著大多陣列織中都允許向 Gmail 服務器發送流量
可以使用 Gmail 作為命令和控制服務器:定期向 Gmail 收件箱發送信標,并檢查是否有任何帶有活動 ID 的新郵件,如果有,這些電子郵件中包含的命令將在受感染主機上執行,當收到新回應時,此資訊將傳遞到控制臺
工具:
- gcat:https://github.com/byt3bl33d3r/gcat
- gdog:https://github.com/maldevel/gdog
4、DropBox
許多公司將 DropBox 用作共享工具和托管資料
因此可以使用 DropBox API 在控制器和植入物之間進行通信,在記憶體中運行并且流量是加密
工具:
- DropboxC2C:https://github.com/0x09AL/DropboxC2C
- DBC2:https://github.com/Arno0x/DBC2
5、powershell
大多數現代 Windows 都使用 PowerShell,并且通常管理員不會限制普通用戶對 PowerShell 控制臺的訪問
工具:
- PoshC2:https://github.com/nettitude/PoshC2
6、Windows COM
The native Windows Script Host engine可用作一種命令和控制方法
工具:
- koadic:https://github.com/zerosum0x0/koadic
7、Telegram
利用Telegram中的bots
工具:
- bt2:https://github.com/blazeinfosec/bt2
8、Twitter
類似Gmail的思路,利用Twitter進行命令與控制
工具:
- twittor:https://github.com/PaulSec/twittor
9、website keyword
在網站上查找指定的關鍵字,如果該關鍵字存在,則將執行有效負載
工具:
- Powershell-C2:https://github.com/enigma0x3/Powershell-C2
10、WebDAV
WebDAV 是用于 Web 內容創作操作的 HTTP 協議的擴展
PROPFIND 方法用于檢索存盤在 WebDAV 服務器中的資源的屬性:包括檔案名、內容長度、創建和修改日期等
可以將payload放入PROPFIND 方法
工具:
- WebDavC2:https://github.com/Arno0x/WebDavC2
11、HTTPS
大多數端點產品執行一些深度資料包檢查以丟棄任何任意連接,使用支持加密的協議并使用證書固定生成的流量可以規避大多數產品
工具:
- ThunderShell:https://github.com/Mr-Un1k0d3r/ThunderShell
12、Office 365
參考如何利用Office 365的任務功能搭建Cobalt Strike C2通道
13、kernel
使用一個開源網路驅動程式 (WinDivert),它與 ??Windows 內核互動,以便操縱流向另一臺主機的 TCP 流量
植入物可以使用被 windows 防火墻阻止或未打開的埠,以便與命令和控制服務器進行通信,需要注意的是,植入需要以管理員級別的權限執行,但而無需創建任何事件日志或建立新連接
工具:
- redsails:https://github.com/BeetleChunks/redsails
14、Website
構建一個假網站來傳遞流量
工具:
- trevorc2:https://github.com/trustedsec/trevorc2
15、WebSocket
某些 Web 網關不檢查 WebSocket內容
可以克隆一個合法網站,該網站將托管在網路服務器(攻擊者機器)中并包含惡意 websocket 代碼
工具:
- WSC2:https://github.com/Arno0x/WSC2
16、Images
圖片可以隱藏命令、有效載荷和腳本
工具:
- C2:https://github.com/et0x/C2
- Invoke-PSImage:https://github.com/peewpw/Invoke-PSImage
17、Web Interface
直接看工具:
- Ares:https://github.com/sweetsoftware/Ares
18、WMI
Windows Management Instrumentation (WMI) 是一項 Microsoft 技術,旨在允許管理員通過網路執行本地和遠程管理操作,由于 WMI 是自 Windows 98 以來存在的 Windows 生態系統的一部分,因此它幾乎可以在所有網路中使用
工具:
- WmiSploit:https://github.com/secabstraction/WmiSploit
- WMIOps:https://github.com/FortyNorthSecurity/WMIOps
- WMImplant:https://github.com/FortyNorthSecurity/WMImplant
19、JavaScript
使用 JavaScript 有效載荷和 HTTP 協議在服務器和目標主機之間進行通信
工具:
- MyJSRat:https://github.com/Ridter/MyJSRat
- JSRat-Py:https://github.com/Hood3dRob1n/JSRat-Py
- JSRAT:https://github.com/aspiggy/JSRAT
- Javascript-Backdoor:https://github.com/3gstudent/Javascript-Backdoor
二、Fronting
1、Domain Fronting
參見:一文搞明白域前置(Domain Fronting)技術
2、Domain Borrowing
參見:一文搞明白 Domain Borrowing
3、Tor Fronting
參見:隱匿的攻擊之-Tor Fronting
結語
對隱匿攻擊方法做了個小結
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/290574.html
標籤:其他