C2、C3，不惜一切代价

Darin Roberts//

如果你在安全领域待过一段时间，你一定听说过C2这个术语。你可能也听过它被称为C&C或命令与控制（Command and Control）。在BHIS，我们称之为C2。有些人可能好奇C2到底是什么，那些知道它的人可能不理解它的含义，甚至更多人可能不知道如何设置一个C2。经常听到其他测试人员说：“我无法做X、Y或Z，所以我设置了一个C2来绕过问题。”那么，C2究竟是什么？它是如何工作的？更重要的是，我该如何设置一个？

首先，什么是C2？

C2是远程控制另一个系统。这可以是好事。就我个人而言，我喜欢远程桌面，每天都会使用。还有其他常见的C2形式，如VNC或SSH。它们非常有益，让在计算机上工作比物理上坐在机器前容易得多。

然而，事物可以用于好，也可以用于坏。在C2的邪恶面，恶意软件被上传到目标主机并执行。该恶意软件已预先编程运行，并建立与互联网上命令控制服务器的通信通道。恶意软件可以通过无数方式下载和安装：作为电子邮件附件、点击错误链接、下载特洛伊木马软件、插入USB，或任何其他方式。C2的结果是相同的：你为攻击者提供了在你的计算机上执行命令的途径。

C2如何工作？

毫无戒备的受害者在他们的计算机上执行命令安装恶意软件。安装后，恶意软件会呼叫C2服务器并等待下一个命令。它通常会定时发送信标，让服务器知道它仍然存活，并查看是否有任务需要执行。当服务器准备好时，它会发出命令在受感染的主机上执行。

由于主机不会持续发送数据出网络，检测这些受感染的主机有时可能很困难。有些反病毒程序可以检测现成的C2程序，但它们无法检测所有。前几天在一次会议上，一位同事说：“我总是使用自定义C2，绕过一切。我知道它会工作。”

如何设置C2？

在这篇博客中，我将使用Metasploit和Veil设置一个C2。主机将运行Windows 10，并安装和使用Windows Defender。

第一步是使用Metasploit设置监听器。感谢BHIS出色的系统管理员，我专门为此设置了一个Kali实例。

现在监听器设置好了，我们需要获取有效载荷。我首先使用Metasploit创建有效载荷。

我将这个C2.exe文件复制到我的Windows机器上，但Windows Defender不喜欢它。

Windows Defender是一个出奇好的反病毒程序。然而，由于这不是对AV解决方案的评论，我们将尝试看看是否能绕过它。然后我使用了Veil-Evasion（https://github.com/Veil-Framework/Veil-Evasion）。

现在我们从Veil获得了有效载荷（文件c2.bat），让我们将其复制到我们的Windows机器上，看看是否能绕过Windows Defender。

我在桌面上创建了一个名为C2 Folder的文件夹。我能够将这个c2.bat文件移动到新创建的文件夹中，Windows Defender没有触发它。

我希望这个文件以管理员权限运行，所以我会右键单击它并选择“以管理员身份运行”。点击“是”允许。

运行c2.bat文件后，我的Kali上启动了一个带有Meterpreter监听器的会话。

我想与会话交互，所以我输入命令“sessions -i 1”。

在我的Windows机器上，看起来什么都没有发生。我可以截屏，但那会很无聊。

我不希望Windows杀死我的进程，所以我要迁移到另一个稳定且Windows喜欢的进程。Spool是一个好主意。Explorer是另一个流行的选择。

现在我知道spool的PID是4188，我将我的PID更改为4188。

现在我有访问权限了，我将更改目录看看有什么。

我想看看这个文件里有什么！

有了C2会话，你可以做各种有趣的事情，但那是另一篇博客的内容。

对于那些没看过《Mr. Mom》或对这篇博客标题好奇的人：

准备好学习更多了吗？ 通过Antisyphon的实惠课程提升你的技能！ Pay-Forward-What-You-Can培训 提供直播/虚拟和点播选项