DoHC2: aprovechado para comando y control a través de DNS a través de HTTPS

Iniciado por TheHackForce, Febrero 24, 2019, 05:39:27 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Febrero 24, 2019, 05:39:27 PM
DoHC2

DoHC2 permite que la biblioteca de ExternalC2 de Ryan Hanson ( No tienes permitido ver los links. Registrarse o Entrar a mi cuenta ) se aproveche para comando y control (C2) a través de DNS sobre HTTPS (DoH). Está diseñado para el popular software de simulación de adversarios y de operaciones del equipo rojo Cobalt Strike.

Este proyecto fue lanzado el 23 de octubre de 2018 en  Mitre ATT & CKcon .

Diapositivas:  Jugando a Devil's Advocate to Security Initiatives con ATT & CK
Diagrama



Descargar

    git clone No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Uso

    Instalar y lanzar Cobaltstrike teamserver.
    Inicie un detector de beacon_http / beacon_https –  Gotcha.  Esto se puede desactivar con un firewall, pero lo necesita para que funcione el C2 externo.
    Cargue en el script 'external_c2.cna' para iniciar el puerto 2222 de ExternalC2 (Firewall desactivado).
    Instalar dependencias para un servidor python3.
    Permitir el puerto 53 / udp a Internet (o a los rangos de IP del proveedor de DoH).
    Cree un registro A en su dominio para que apunte a la IP del servidor teamserver / DNS, es decir, [A] No tienes permitido ver los links. Registrarse o Entrar a mi cuenta -> 000.000.000.000
    Cree un registro NS para señalar el registro A para el canal de envío (INPUTDOMAIN), es decir, [NS] No tienes permitido ver los links. Registrarse o Entrar a mi cuenta -> No tienes permitido ver los links. Registrarse o Entrar a mi cuenta.
    Cree un registro NS para que apunte al registro A para el canal de recepción (OUTPUTDOMAIN), es decir, [NS] No tienes permitido ver los links. Registrarse o Entrar a mi cuenta -> No tienes permitido ver los links. Registrarse o Entrar a mi cuenta.
    Cambie INPUTDOMAIN y OUTPUTDOMAIN en No tienes permitido ver los links. Registrarse o Entrar a mi cuenta. Cambiar clave de cifrado / IV: se utiliza para cifrar la ruta de Teamserver–> Sólo cliente (Encriptador de etapas).
    Inicie el servidor DNS de python3.
    Construir la biblioteca ExternalC2. Cambie la clave de cifrado / IV en DoHChannel.cs para que coincida con el servidor python3.
    Configure e inicie DoHC2 () como se indica a continuación y asegúrese de configurar INPUTDOMAIN, OUTPUTDOMAIN y un  proveedor de DoH .

Servidor

Servidor DNS Python basado en el  servidor DNS ACME

    Esto interconecta el DNS sin procesar al Cobalt Strike Teamserver en 127.0.0.1:2222 por defecto.
    Cambie INPUTDOMAIN y OUTPUTDOMAIN para que sean hosts que sean NS de la IP externa del servidor:

   pip3 install -r Requirements.txt
   sudo python3 ./DoHC2.py

Fuente:  No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

saludos y dedicacion para ANTRAX ya que aprendi mucho de el
ҬӉЄ ӉѦСҠ ҒѺГСЄ Comunidad De Ciber-Seguridad En Todas Las Plataformas SaluDdos Mundo

Hack The Planet
Fuck The System
Imprimir
Ir Arriba Páginas1
Acciones del Usuario