在探索可以在红队参与期间使用的日常新方法和工具中特别关注命令和控制通道,这些通道可以逃避安全产品,并可以通过使用非传统方法隐藏流量。Arno0x0x发现某些Web网关不检查Web套接字内容。因此,它可以用作向主机执行任意命令的通信通道。
Arno0x0x开发了一个实现此方法的命令和控制工具(WSC2)。该工具是用python编写的,可以用于数据泄露,因为它提供了文件传输功能和shell功能。
可以克隆将托管在Web服务器(攻击者计算机)中的合法网站,并且将包含恶意websocket代码。当时WSC2可以生成三个不同的java脚本调度器。
当stager将在目标上执行时,将与WSC2控制器建立连接。
或者,当用户访问恶意URL时,可以执行HTML stager。
从连接的代理(主机)可以使用cli命令获得一些基本的shell功能。
命令可以从shell执行。
另外,WSC2提供文件传输功能。将从目标中检索的文件将存储在该工具的传入文件夹中。
文件也可以托管在目标上,以执行进一步的开发后活动。
上传的文件将存储在最初执行stager的文件夹中。
从防御者的角度来看,这看起来像来自Internet Explorer的网络流量,不会引起任何怀疑。
