欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

怎样运用Office 365的任务功能搭建Cobalt Strike C2通道

来源:本站整理 作者:佚名 时间:2017-10-10 TAG: 我要投稿

一、媒介
在定制化、创新化敕令与节制(C2,Command and Control)通道方面,人们曾经做了很多研究工作,但是已地下的研究成果平日只是自力的实践观点,没有集成到现有的进击对象包中。Cobalt Strike近来增加了一个新的扩大功效,可以或许在坚持对象兼容性的前提下,发明隐藏的C2通道。
Cobalt Strike新增加的扩大名为“External C2”,为了最大化发掘该扩大的潜能,MWR团队开辟了一个定制版的C2通道,利用Office 365作为通讯序言。本文先容的紧张内容以下:
1、利用Office 365办事中Outlook的“义务(tasks)”功效,演示若何搭建Cobalt Strike的C2通道。
2、阐发定制化Cobalt Strike C2通道时会碰着的一些艰苦,并先容了办理这些艰苦的一种方法。
二、External C2接口
Cobalt Strike是一个渗入渗出平台,广泛利用于面向目标的操纵场景,用来模仿特定威逼起源。Cobalt Strike包括很多紧张功效,好比beacon植入体(implant)和“可拓展的C2”通道。可扩大的C2功效可以或许用来定制C2哀求和响应新闻的详细布局。好比,咱们可以或许定制HTTP头部、注释中的数据布局,和C2数据在这些布局中的存储方法。利用这种功效,咱们可以或许设计弹性化C2通道,将C2通讯流量隐藏在失常的流量中。固然可扩大C2供给了丰硕的定制化选项,但仍旧存在几个限定前提,必要咱们留意:
1、该功效仅支撑Cobalt Strike支撑的某些协定,即:HTTP/HTTPS和DNS协定。
2、与利用这些协定的“外部”办事通讯本身便是比较有难度的一个进程,而且大多数环境下都难以胜利。
3、对付HTTP/HTTPS而言,该功效仅限于客户端-办事器利用场景,这种环境下,客户端(即植入体)会向办事器(Cobalt Strike团队办事器(team server))宣布哀求,办事器会间接前往响应数据。
作为Cobalt Strike的创始人,Raphael Mudge近来宣布了一个观点验证功效型扩大,可以或许利用随意率性C2通道,这个功效也便是咱们本日要先容的“External C2”接口。
咱们可以或许将该接口与传统的Cobalt Strike用法做比较,来懂得这个接口的工作道理。简略起见,这里咱们只会阐发HTTP/HTTPS场景。在这个场景中,平日环境下,(内存中或磁盘上的)某个植入领会利用HTTP/HTTPS协定作为通讯协定,间接与Cobalt Strike团队办事器通讯,更多环境下,植入领会利用重定向器(redirector)与团队办事器通讯,重定向器卖力将通讯流量转发给团队办事器。典范的利用场景以下图的左图所示。其余植入体可以或许利用与C2雷同的通讯协定来流传,或许也能够或许利用SMB协定停止散发。利用SMB协准时,新的植入体与源植入体之间必要利用定名管道(named pipe)来通讯,而源植入体卖力中继原始C2通道的通讯流量。

“External C2”支撑在传统的Cobalt Strike C2模子中利用中间人(man-in-the-middle)技巧。在这种环境下,客户端代码包括一个第三方客户端和一个SMB植入体。第三方客户端不必要卖力Cobalt Strike功效,相同,它卖力天生SMB植入体,而后经由进程定名管道与SMB植入体通讯。经由进程定名管道收到流量后,第三方客户端可以或许将这些流量再次封装,而后经由进程随意率性C2通道传输。办事端要搭建一个第三方节制端,以接管并解封装C2流量,而后利用简略的TCP套接字将颠末处置的C2流量转发给团队办事器。Cobalt Strike经由进程“aggressor script”启动“External C2”接口,团队办事器经由进程“External C2”接口来监听数据(“aggressor script”是Cobalt Strike的剧本引擎)。“External C2”接口可以或许在随意率性端口上监听,与现有的“监听器(listeners)”功效相似(listeners为接管特定协定衔接的端点)。通讯数据的回连门路与发送门路雷同。
Raphael Mudge所完成的External C2接口中包括aggressor script和一个简略的第三方客户端。第三方客户端与节制端之间利用根本的TCP套接字停止通讯。Raphael Mudge没有完成任何第三方节制端,但是因为整条C2门路仅用到了TCP套接字,在测试场景中,咱们可以或许利用TCP端口转发来模仿其功效。
三、与Office 365同步“义务”
只需进击者的想象力充足丰硕,他就能够够利用“External C2”接口来抉择利用各类范例的C2通道。本文利用C++说话写了段PoC代码,简略完成了“External C2”的第三方客户端和节制端组件,利用这些组件,共同Office 365办事中Outlook的“义务(tasks)”功效来搭建一个C2通道。跟着愈来愈多的构造抉择利用Office 365办事,利用这种方法构建的C2通道也显得加倍隐藏,难以与正当的流量辨别开来。
3.1 与Office 365交互
Office 365中的Outlook由Microsoft Exchange来供给功效支撑是异常失常的一件工作,使人惊奇的是,咱们也能够或许经由进程Office 365来利用Exchange外部实例所支撑的很多功效。
Exchange供给了一个异常紧张但又不太著名的功效,那便是Exchange Web Services(EWS)功效。EWS是一个SOAP Web办事,客户端可以或许经由进程该办事与Exchange停止交互。EWS默许处于启用状况,与Outlook Web App(OWA)地点处于统一级别,详细地点为:“https:///EWS/”。咱们发明Office 365切实其实供给了EWS办事,详细地点为:“https://outlook.office365.com/EWS/”。
很多客户端利用程序会用到EWS办事,好比桌面版Outlook中的“加载项(add-ins)”功效;Outlook本身会利用MAPI/RPC来与Exchange停止交互,无需依附EWS办事。但是,EWS支撑MAPI/RPC所供给的大部分功效,只需某些环境除外(比方,EWS无奈创立“有风险”的某些Outlook规矩,如“启动利用程序”规矩)。
EWS支撑各类功效,好比创立、改动和删除邮件、日历、联系人、义务等Outlook支撑的功效。这些操纵都邑同步到Exhcange上,是以也能够或许用作C2序言加以利用。

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载