通过合法流量覆盖任意命令是每个红队入侵的必要条件。大多数命令和控制工具正在实施一种秘密技术,它允许红队隐藏他们的活动,因为数据泄露是目标的一部分。
David Kennedy开发了一个名为TrevorC2的命令和控制工具,可用于通过合法的HTTP流量执行命令。需要将trevorc2_server.py上的URL属性修改为所选的网站。
TrevorC2 - 服务器配置
植入物(trevorc2_client.py或trevorc2_client.ps1)具有SITE_URL属性。这需要使用命令和控制服务器的IP地址进行更改。当命令和控制服务器文件运行时,它将开始克隆网站。
TrevorC2 - 服务器
有两种植入物可供使用,一种基于python,另一种植入PowerShell。从执行植入的那一刻起,将与命令和控制服务器建立连接。
TrevorC2 - PowerShell Implant
命令可以从服务器发送到客户端:
TrevorC2 - 命令
命令将通过HTTP / S协议加密发送。TrevorC2使用AES加密和以下密码。加密命令将插入oldcss参数内的虚假网站:
TrevorC2 - 加密密钥和数据位置
假网站将与命令和控制服务器托管在同一系统中,它看起来与原始网站完全一样。
TrevorC2 - 克隆网站
但是,检查源代码时,oldcss参数将包含加密命令。
通过进行流量检查,可以看出执行的命令是通过合法的HTTP流量覆盖的。
https://www.trustedsec.com/2017/10/trevorc2-legitimate-covert-c2-browser-emulation/https://github.com/trustedsec/trevorc2
