DoHC2: aprovechado para comando y control a través de DNS a través de HTTPS

Iniciado por TheHackForce, Febrero 24, 2019, 05:39:27 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Febrero 24, 2019, 05:39:27 PM
DoHC2

DoHC2 permite que la biblioteca de ExternalC2 de Ryan Hanson ( You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login ) se aproveche para comando y control (C2) a través de DNS sobre HTTPS (DoH). Está diseñado para el popular software de simulación de adversarios y de operaciones del equipo rojo Cobalt Strike.

Este proyecto fue lanzado el 23 de octubre de 2018 en  Mitre ATT & CKcon .

Diapositivas:  Jugando a Devil's Advocate to Security Initiatives con ATT & CK
Diagrama



Descargar

    git clone You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Uso

    Instalar y lanzar Cobaltstrike teamserver.
    Inicie un detector de beacon_http / beacon_https –  Gotcha.  Esto se puede desactivar con un firewall, pero lo necesita para que funcione el C2 externo.
    Cargue en el script 'external_c2.cna' para iniciar el puerto 2222 de ExternalC2 (Firewall desactivado).
    Instalar dependencias para un servidor python3.
    Permitir el puerto 53 / udp a Internet (o a los rangos de IP del proveedor de DoH).
    Cree un registro A en su dominio para que apunte a la IP del servidor teamserver / DNS, es decir, [A] You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login -> 000.000.000.000
    Cree un registro NS para señalar el registro A para el canal de envío (INPUTDOMAIN), es decir, [NS] You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login -> You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.
    Cree un registro NS para que apunte al registro A para el canal de recepción (OUTPUTDOMAIN), es decir, [NS] You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login -> You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.
    Cambie INPUTDOMAIN y OUTPUTDOMAIN en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login. Cambiar clave de cifrado / IV: se utiliza para cifrar la ruta de Teamserver–> Sólo cliente (Encriptador de etapas).
    Inicie el servidor DNS de python3.
    Construir la biblioteca ExternalC2. Cambie la clave de cifrado / IV en DoHChannel.cs para que coincida con el servidor python3.
    Configure e inicie DoHC2 () como se indica a continuación y asegúrese de configurar INPUTDOMAIN, OUTPUTDOMAIN y un  proveedor de DoH .

Servidor

Servidor DNS Python basado en el  servidor DNS ACME

    Esto interconecta el DNS sin procesar al Cobalt Strike Teamserver en 127.0.0.1:2222 por defecto.
    Cambie INPUTDOMAIN y OUTPUTDOMAIN para que sean hosts que sean NS de la IP externa del servidor:

   pip3 install -r Requirements.txt
   sudo python3 ./DoHC2.py

Fuente:  You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

saludos y dedicacion para ANTRAX ya que aprendi mucho de el
ҬӉЄ ӉѦСҠ ҒѺГСЄ Comunidad De Ciber-Seguridad En Todas Las Plataformas SaluDdos Mundo

Hack The Planet
Fuck The System
Imprimir
Ir Arriba Páginas1
Acciones del Usuario