C2, C3, 不惜一切代价

Darin Roberts//

如果你在安全领域待过一段时间，肯定听说过C2这个术语。你可能也听过它被称为C&C或命令与控制（Command and Control）。在BHIS，我们称之为C2。有些人可能想知道C2到底是什么，那些知道它的人可能不理解它的含义，甚至更多人可能不知道如何设置C2。与另一位测试人员交谈时，他们可能会说：“我无法做X、Y或Z，所以我只是设置了一个C2来绕过问题。”这并不罕见。那么，C2到底是什么？它是如何工作的？更重要的是，我如何设置一个？

首先，什么是C2？C2是远程控制另一个系统。这可以是一件好事。就我个人而言，我喜欢远程桌面，并且每天使用它。还有其他常见的C2形式，如VNC或SSH，它们也非常常见。它们非常有益，使在计算机上工作比物理上在机器前容易得多。

然而，任何事物都可以被用于好或坏。在C2的邪恶面，恶意软件被上传到目标主机并执行。这种恶意软件被预编程运行，然后建立与互联网上命令与控制服务器的通信通道。恶意软件可以通过无数种方式下载和安装。它可以作为电子邮件附件、点击错误链接、下载特洛伊木马软件、插入USB或任何其他方式。C2的结果是相同的：你为攻击者提供了一条在你的计算机上执行命令的途径。

那么C2是如何工作的？毫无戒心的受害者在他们的计算机上执行命令来安装恶意软件。安装后，恶意软件会呼叫C2服务器并等待下一个命令。它通常会按时间发送信标，让服务器知道它仍然存活，并查看是否有任何任务需要执行。当服务器准备好时，它会发出命令在受感染的主机上执行。

由于主机不会持续发送数据到网络外，检测这些受感染的主机有时可能很困难。有一些反病毒程序可以检测现成的C2程序，但它们无法检测所有内容。前几天在一次会议上，一位同事说：“我总是使用自定义C2并绕过一切。我知道它会工作。”

如何设置C2？在这篇博客中，我将使用Metasploit和Veil设置一个C2。主机将运行Windows 10，并安装和使用Windows Defender。

第一步是使用Metasploit设置监听器。感谢BHIS伟大的系统管理员，我为此设置了一个Kali实例。

现在我们已经设置了监听器，我们需要获取有效载荷。我首先使用Metasploit创建有效载荷。

我将这个C2.exe文件复制到我的Windows机器上，但Windows Defender不喜欢它。

Windows Defender是一个出乎意料的好反病毒程序。然而，由于这不是对AV解决方案的评论，我们将只是尝试看看是否能绕过它。然后我使用了Veil-Evasion（https://github.com/Veil-Framework/Veil-Evasion）。

现在我们有了来自Veil的有效载荷（文件c2.bat），让我们将其复制到我们的Windows机器上，看看它是否能绕过Windows Defender。

我在桌面上创建了一个名为C2 Folder的文件夹。我能够将这个c2.bat文件移动到我新创建的文件夹中，而Windows Defender没有触发它。

我希望这个文件以管理员权限运行，所以我会右键单击它并选择“以管理员身份运行”。点击“是”允许。

运行c2.bat文件后，我的Kali上启动了一个带有Meterpreter监听器的会话。

我想与会话交互，所以我输入命令“sessions -i 1”。

在我的Windows机器上，看起来什么都没有发生。我可以截屏，但那会很无聊。

我不希望Windows杀死我的进程，所以我将迁移到另一个稳定且Windows喜欢的进程。Spool是一个好主意。Explorer是另一个流行的选择。

现在我知道spool的PID是4188，我将我的PID更改为4188。

现在我有访问权限，我将更改目录以查看那里有什么。

我想看看这个文件里有什么！

通过C2会话，你可以做各种有趣的事情，但那是另一篇博客的内容。

对于那些没有看过《Mr. Mom》或对这篇博客文章标题感到好奇的人：

准备好学习更多了吗？
通过Antisyphon的实惠课程提升你的技能！
付费转发你能支付的培训
提供直播/虚拟和点播服务

硬件黑客与Shikra GNURadio可以让你听到Laurel和Yanny

[返回顶部]

Black Hills Information Security, Inc.
890 Lazelle Street, Sturgis, SD 57785-1611 | 701-484-BHIS (2447)
© 2008-2024
关于我们 | BHIS部落公司 | 隐私政策 | 联系

链接