其他分享
首页 > 其他分享> > 【基础篇】————17、隐匿攻击之Website

【基础篇】————17、隐匿攻击之Website

作者:互联网

通过合法流量覆盖任意命令是每个红队入侵的必要条件。大多数命令和控制工具正在实施一种秘密技术,它允许红队隐藏他们的活动,因为数据泄露是目标的一部分。

David Kennedy开发了一个名为TrevorC2的命令和控制工具,可用于通过合法的HTTP流量执行命令。需要将trevorc2_server.py上的URL属性修改为所选的网站。

                                                    TrevorC2 - 服务器配置

植入物(trevorc2_client.py或trevorc2_client.ps1)具有SITE_URL属性。这需要使用命令和控制服务器的IP地址进行更改。当命令和控制服务器文件运行时,它将开始克隆网站。

                                                TrevorC2 - 服务器

有两种植入物可供使用,一种基于python,另一种植入PowerShell。从执行植入的那一刻起,将与命令和控制服务器建立连接。

                                         TrevorC2 - PowerShell Implant

命令可以从服务器发送到客户端:

                                                             TrevorC2 - 命令

命令将通过HTTP / S协议加密发送。TrevorC2使用AES加密和以下密码。加密命令将插入oldcss参数内的虚假网站:

                                     TrevorC2 - 加密密钥和数据位置

假网站将与命令和控制服务器托管在同一系统中,它看起来与原始网站完全一样。

                                TrevorC2 - 克隆网站

但是,检查源代码时,oldcss参数将包含加密命令。

通过进行流量检查,可以看出执行的命令是通过合法的HTTP流量覆盖的。

参考

https://www.trustedsec.com/2017/10/trevorc2-legitimate-covert-c2-browser-emulation/
https://github.com/trustedsec/trevorc2

 

标签:Website,TrevorC2,加密,17,网站,trevorc2,隐匿,命令,服务器
来源: https://blog.csdn.net/Fly_hps/article/details/90579035