第六十四課:高級持續(xù)滲透-第八季demo便是遠控
專注APT攻擊與防御
https://micropoor.blogspot.com/
本季是《高級持續(xù)滲透-第七季demo的成長》的延續(xù)。
https://micropoor.blogspot.com/2019/01/php-demo.html
在第一季關(guān)于后門中,文章提到重新編譯notepad++,來引入有目標源碼后門構(gòu)造。
在第六季關(guān)于后門中,文章假設(shè)在不得知notepad++的源碼,來引入無目標源碼溝門構(gòu)造。
在第七季關(guān)于后門中,文章讓demo與上幾季中對比,更貼近于實戰(zhàn)。
而在第八季,繼續(xù)優(yōu)化更新demo,強調(diào)后門鏈在高級持續(xù)滲透中的作用。該系列僅做后門思路。
在上季中引用一個概念:“安全是一個鏈安全,攻擊引入鏈攻擊,后門引入鏈后門”,而”鏈”的本質(zhì)是增加對手的時間成本,金錢成本,人力成本等。
第七季的文章結(jié)尾是這樣寫道:
而增改后門每一個功能,則需要更改demo的功能,或者增加幾個功能的集合。那么它并不是一個標準的"鏈"后門。為了更好的強調(diào)“鏈”后門在高級持續(xù)滲透中的作用。第八季把demo打造成一個遠控。以及可結(jié)合任意第三方滲透框架。
遠控4四大要素:
可執(zhí)行cmd命令
可遠程管理目標機文件,文件夾等
可查看目標攝像頭
注冊表和服務(wù)操作
等等。
而以上功能需要大量的代碼以及大量的特征加入到該dll里,而此時,后門不在符合實戰(zhàn)要求。從而需要重新構(gòu)建后門。思路如下:dll不實現(xiàn)任何后門功能,只做“后門中間件”。而以上功能則第四方來實現(xiàn)。第三方作為與后門建立連接關(guān)系。
Demo 環(huán)境:
Windows 2003 x64
Windows 7 x64
Debian
notepad++ 7.6.1,notepad++7.5.9
vs 2017
Windows 2003: ip 192.168.1.119
開放端口:
notepad++版本:
notepad++v7.6以下版本插件直接放入X:Program Files (x86)Notepad++plugins目錄下即可。
放置后門:
配置后門鏈:
配置下載服務(wù)器:
配置msf:
再次打開notepad++:
變化如下:
下載服務(wù)器:
msf服務(wù)器:
執(zhí)行順序為:
notepad++掛起dll后門
后門訪問下載服務(wù)器讀取shellcode
根據(jù)shellcode內(nèi)容,加載內(nèi)存
執(zhí)行shellcode
Micropoor.rb核心代碼如下:
而此時,無需在對dll的功能改變而更改目標服務(wù)器,只需更改下載服務(wù)器shellcode,以messagebox為例:
msf生成shellcode如下:
替換下載服務(wù)器shellcode:
再次運行notepad++,彈出messagebox,而無msf payload功能。
后者的話:
在第八季中,只需配置一次目標服務(wù)器,便完成了對目標服務(wù)器的“后門”全部配置。
以減小最小化接觸目標服務(wù)器,來減少被發(fā)現(xiàn)。而以后得全部配置,則在下載服務(wù)器中。來調(diào)用第四方框架。并且目標服務(wù)器只落地一次文件,未來其他功能都將會直接加載到內(nèi)存。大大的增加了管理人員的對抗成本?!昂箝T鏈”的本質(zhì)是增加對手的時間成本,金錢成本,人力成本等。而對于攻擊者來說,下載,執(zhí)行,后門分別在不同的IP。對于對抗安全軟件,僅僅需要做“落地”的exe的加解密shellcode。
附:
Micropoor.rb
大小: 1830 字節(jié)
修改時間: 2019年1月4日, 15:46:44
MD5: D5647F7EB16C72B94E0C59D87F82F8C3
SHA1: BDCFB4A9B421ACE280472B7A8580B4D9AA97FC22
CRC32: ABAB591B
https://drive.google.com/open?id=1ER6Xzcw4mfc14ql4LK0vBBuqQCd23Apg
MicroNc.exe
注:強烈建議在虛擬中測試,因Micropoor已被安全軟件加入特征,故報毒。
大小: 93696 字節(jié)
修改時間: 2019年1月4日, 15:50:41
MD5: 42D900BE401D2A76B68B3CA34D227DD2
SHA1: B94E2D9828009D80EEDDE3E795E9CB43C3DC2ECE
CRC32: CA015C3E
https://drive.google.com/open?id=1ZKKPOdEcfirHb2oT1opxSKCZPSplZUSf
Micropoor
?
