Αυτή η σειρά αναρτήσεων θα σας καθοδηγήσει στη δημιουργία του δικού σας διακομιστή Command and Control (C2), χρησιμοποιώντας συγκεκριμένα το Havoc C2 Framework. Πριν από την εμβάθυνση στις τεχνικές, ας καθορίσουμε πρώτα τι είναι ένας διακομιστής C2 στο πλαίσιο των επιχειρήσεων στον κυβερνοχώρο.
Ένας διακομιστής Command and Control (C2) αποτελεί αναπόσπαστο στοιχείο των προηγμένων κυβερνοεπιθέσεων, παρέχοντας στους επιτιθέμενους έναν μηχανισμό για τη διατήρηση της επικοινωνίας με συσκευές που έχουν παραβιαστεί μετά το post-infection.
Η αρχιτεκτονική του C2 μπορεί να υλοποιηθεί με πολλούς τρόπους, μεταξύ άλλων:
-
Ανάπτυξη ενός Trojan απομακρυσμένης πρόσβασης (RAT) για τη δημιουργία μιας κερκόπορτας στη συσκευή του θύματος, επιτρέποντας έτσι τον απομακρυσμένο έλεγχο.
-
Χρήση ενός αποκλειστικού διακομιστή εντολών και ελέγχου, τον οποίο διαχειρίζεται ο επιτιθέμενος, για την αναμετάδοση εντολών σε παραβιασμένες συσκευές.
-
Χρήση ενός botnet, ενός δικτύου παραβιασμένων συσκευών, για την εκτέλεση συντονισμένων κακόβουλων δραστηριοτήτων που κυμαίνονται από επιθέσεις Distributed Denial of Service (DDoS) έως τη διάδοση κακόβουλου λογισμικού.
Η σημασία ενός διακομιστή C2 στις επιχειρήσεις στον κυβερνοχώρο δεν μπορεί να υπερεκτιμηθεί. Προσφέρει στους επιτιθέμενους τη δυνατότητα να εξαφανίζουν δεδομένα, να διεξάγουν στοχευμένες επιθέσεις και να προκαλούν μια σειρά ζημιών στο δίκτυο του θύματος.
Τα αντίμετρα κατά των δραστηριοτήτων C2 είναι πολύπλευρα και περιλαμβάνουν:
-
Εφαρμογή τειχών προστασίας και συστημάτων ανίχνευσης/πρόληψης εισβολών (IDS/IPS) για το φιλτράρισμα και τον αποκλεισμό κακόβουλης κυκλοφορίας.
-
Αξιοποίηση λύσεων προστασίας από ιούς για τον εντοπισμό και την εξάλειψη στοιχείων κακόβουλου λογισμικού.
-
Τακτική ενημέρωση του λογισμικού με τις τελευταίες επιδιορθώσεις ασφαλείας για την αντιμετώπιση γνωστών ευπαθειών.
-
Διεξαγωγή εκπαίδευσης του προσωπικού σε θέματα κυβερνοασφάλειας για την τήρηση των βέλτιστων πρακτικών.
Αν και αυτές οι άμυνες μπορεί να μην προσφέρουν απόλυτη προστασία από τις απειλές C2, αυξάνουν σημαντικά τη θέση ασφαλείας του οργανισμού, καθιστώντας όλο και πιο δύσκολο για τους επιτιθέμενους να δημιουργήσουν μια επιτυχημένη υποδομή Διοίκησης και Ελέγχου, αλλά αυτή είναι μια συζήτηση που θα την κάνουμε άλλη φορά.
Έχοντας κάνει τις εισαγωγές της υπόθεσης, ας πιάσουμε δουλειά και ας εγκαταστήσουμε τον πρώτο δικό μας διακομιστή Command and Control και γι' αυτό πρέπει να ανοίξουμε ένα τερματικό στη διανομή Kali Linux:
Βήμα 1. git clone https://github.com/HavocFramework/Havoc.git
και αν όλα πάνε καλά, θα πρέπει να δείτε τα εξής:
τώρα αν τρέξετε την εντολή ls, μπορέσετε να δείτε τους καταλόγους που εμφανίζονται στην παρακάτω εικόνα, στη συνέχεια τρέξτε την εντολή cd Havoc:
Βήμα 2. Βρίσκεστε τώρα μέσα στον κατάλογο Havoc και εκεί θα εκτελέσετε την ακόλουθη εντολή:
sudo apt install -y git build-essential apt-utils cmake libfontconfig1 libglu1-mesa-dev libgtest-dev libspdlog-dev libboost-all-dev libncurses5-dev libgdbm-dev libssl-dev libreadline-dev libffi-dev libsqlite3-dev libbz2-dev mesa-common-dev qtbase5-dev qtchooser qt5-qmake qtbase5-dev-tools libqt5websockets5 libqt5websockets5-dev qtdeclarative5-dev golang-go qtbase5-dev libqt5websockets5-dev python3-dev libboost-all-dev mingw-w64 nasm
Με αυτόν τον τρόπο, θα εγκαταστήσετε διάφορα πακέτα που είναι απαραίτητα για τη σωστή λειτουργία του διακομιστή μας Command and Control και αν όλα πάνε καλά, θα πρέπει να δείτε τα εξής αποτελέσματα:
τότε θα πρέπει να μπείτε στον κατάλογο teamserver πληκτρολογώντας cd teamserver και αν κάνετε ένα ls θα πρέπει να δείτε αυτό που φαίνεται στην παρακάτω εικόνα:
Βήμα 3. Τώρα πρέπει να εκτελέσετε τα εξής:
go mod download golang.org/x/sys
go mod download github.com/ugorji/go
Αν όλα πάνε καλά, θα πρέπει να δείτε κάτι παρόμοιο με αυτό που φαίνεται στην παρακάτω εικόνα, και μετά θα πρέπει να βγείτε από αυτόν τον κατάλογο εκτελώντας την εντολή cd ..
Βήμα 4. Τώρα από τον κατάλογο Havoc Root που βρισκόμαστε, θα δημιουργήσουμε την πλευρά του διακομιστή εκτελώντας:
make ts-build
Αν όλα πάνε καλά, θα πρέπει να δείτε κάτι παρόμοιο με αυτό που φαίνεται στην παρακάτω εικόνα:
Τώρα θα πρέπει να τρέξουμε τον teamserver, αλλά πρώτα, σας συνιστώ να χωρίσετε την οθόνη του τερματικού σας στα δύο με κάθετη προβολή, αυτό είναι για να διευκολύνετε την ταυτόχρονη παρακολούθηση και λειτουργία, ιδιαίτερα χρήσιμο όταν εργάζεστε με διακομιστές Command and Control όπως κάνουμε εδώ.
Εκτελέστε τα εξής:
./havoc
μετά από αυτό, θα πρέπει να δείτε κάτι σαν την εικόνα παρακάτω:
Βήμα 5. Τώρα έχουμε τη διαχωρισμένη προβολή, οπότε στην αριστερή οθόνη έχουμε τον teamserver να τρέχει και στη δεξιά οθόνη ας φτιάξουμε την πλευρά του client εκτελώντας τα εξής:
cd Havoc
make client-build
μετά από αυτό, θα τρέξουμε τον client όπως κάναμε και με τον διακομιστή:
./havoc client
μετά από αυτή τη διαδικασία, θα πρέπει να σας εμφανίσει την παρακάτω οθόνη:
Τώρα για να συμπληρώσετε αυτό το μήνυμα πρέπει να ακολουθήσετε το επόμενο βήμα:
Βήμα 6. Ανοίξτε ένα νέο τερματικό και εκτελέστε τις ακόλουθες εντολές
1. cd Havoc
2. ls
3. cd data
4. ls
5. mousepad havoc.yaotl
και αυτό που θα δείτε είναι το πραγματικό προφίλ C2 και χρειάζεστε τα δεδομένα που έχετε μέσα σε αυτό το αρχείο για να συμπληρώσετε την τελική ερώτηση που λάβαμε στο βήμα 5 και αυτό που θα χρησιμοποιήσετε είναι το εξής:
-
Port: 40056
-
User: Neo
-
Password: password1234
Αυτά είναι τα προεπιλεγμένα διαπιστευτήρια:
Τώρα μπορείτε να κλείσετε το mousepad και στη συνέχεια να μεταβείτε στο τερματικό σας και να λάβετε την IP της εικονικής σας μηχανής χρησιμοποιώντας την εντολή ifconfig
Έπειτα χρησιμοποιήστε όλες τις πληροφορίες που έχετε για να συμπληρώσετε την προτροπή όπως αυτή που βλέπετε στην παρακάτω εικόνα. Μπορείτε να επιλέξετε το όνομα που θέλετε εγώ επιλέγω το Demon.
Τώρα πατήστε το κουμπί Connect και θα είστε έτοιμοι να ξεκινήσετε. Η τελική οθόνη που θα εμφανιστεί είναι η παρακάτω και αυτό συμβαίνει επειδή τώρα έχετε τον έλεγχο του δικού σας C2 Server.
Την επόμενη φορά θα σας μάθουμε πώς να χειρίζεστε και να ελέγχετε το μηχάνημα-θύμα με το C2 σας.
