C2, C3, Whatever It Takes

Darin Roberts//

如果您在安全领域工作过一段时间，您一定听说过术语C2。您可能也听说过它被称为C&C或命令与控制。在BHIS，我们称之为C2。有些人可能想知道C2到底是什么，那些可能知道它是什么的人可能不理解它的含义，甚至更多的人可能不知道如何设置C2。与另一位测试人员交谈时，他们可能会说：“我无法做X、Y或Z，所以我只是设置了一个C2来绕过问题。”这并不罕见。那么，C2到底是什么？它是如何工作的？更重要的是，我如何设置一个？

首先，什么是C2？C2是远程控制另一个系统。这可以是一件好事。就我个人而言，我喜欢远程桌面并每天使用它。还有其他常见的C2形式，如VNC或SSH。它们非常有益，使在计算机上工作比物理上在机器前容易得多。

然而，任何事物都可以用于好或坏。在C2的邪恶方面，恶意软件被上传到目标主机并执行。该恶意软件已预先编程运行，然后在互联网上建立与命令和控制服务器的通信通道。恶意软件可以通过无限方式下载和安装。它可以作为电子邮件附件、点击错误链接、下载特洛伊木马软件、插入USB或任何其他无数方式出现。C2的结果是相同的：您为攻击者提供了在您的计算机上执行命令的途径。

那么C2是如何工作的？毫无戒心的受害者在他们的计算机上执行命令以安装恶意软件。安装恶意软件后，恶意软件将调用C2服务器并等待其下一个命令。它通常基于时间发送信标，以让服务器知道它仍然存活，并查看是否有任何需要做的事情。当服务器准备好时，它将发出命令在受感染的主机上执行。

由于主机不会不断发送数据出网络，检测这些受感染的主机有时可能很困难。有一些防病毒程序可以检测现成的C2程序，但它们无法检测所有内容。前几天我在一次会议上，一位同事说：“我总是使用自定义C2并绕过一切。我知道它会工作。”

如何设置C2？在这篇博客中，我将使用Metasploit和Veil设置一个C2。主机将运行Windows 10，并安装和使用Windows Defender。

第一步是使用Metasploit设置监听器。感谢BHIS的优秀系统管理员，我为此目的设置了一个Kali实例。

现在我们已经设置了监听器，我们需要获取有效载荷。我首先使用Metasploit创建有效载荷。

我将这个C2.exe文件复制到我的Windows机器上，但Windows Defender不喜欢它。

Windows Defender是一个出奇好的防病毒程序。然而，由于这不是对AV解决方案的评论，我们将只是尝试看看是否可以绕过它。然后我使用了Veil-Evasion（https://github.com/Veil-Framework/Veil-Evasion）。

现在我们有了来自Veil的有效载荷（文件c2.bat），让我们将其复制到我们的Windows机器上，看看它是否绕过了Windows Defender。

我在桌面上创建了一个名为C2 Folder的文件夹。我能够将这个c2.bat文件移动到我新创建的文件夹中，Windows Defender没有触发它。

我希望这个文件以管理员权限运行，所以我会右键单击它并“以管理员身份运行”。点击“是”允许。

运行c2.bat文件后，我的Kali上启动了一个带有Meterpreter监听器的会话。

我想与会话交互，所以我输入命令“sessions -i 1”。

在我的Windows机器上，看起来什么都没有发生。我可以截图，但那会很无聊。

我不希望Windows杀死我的进程，所以我将迁移到另一个稳定且Windows喜欢的进程。Spool是一个好主意。Explorer是另一个流行的选择。

现在我知道spool的PID是4188，我将我的PID更改为4188。

现在我有了访问权限，我将更改目录以查看那里有什么。

我想看看这个文件里有什么！

通过C2会话，您可以做各种有趣的事情，但那是另一篇博客的内容。

对于那些没有看过《Mr. Mom》或对这篇博客文章的标题感到好奇的人：

准备学习更多？
通过Antisyphon的实惠课程提升您的技能！
付费转发您能支付的培训
提供实时/虚拟和点播选项

硬件黑客与Shikra GNURadio可以让您听到Laurel和Yanny

返回顶部

Black Hills Information Security, Inc.
890 Lazelle Street, Sturgis, SD 57785-1611 | 701-484-BHIS (2447)
© 2008
关于我们 | BHIS部落公司 | 隐私政策 | 联系

链接