Στον κόσμο της κυβερνοασφάλειας, οι διακομιστές Εντολής και Ελέγχου (C2) είναι ουσιαστικοί για τη συντονισμένη διαχείριση μολυσμένων συστημάτων. Η αλληλεπίδραση με έναν C2 μπορεί να αποκαλύψει τον τελεστή, γι’ αυτό ο redirector λειτουργεί ως μεσολαβητής που κρύβει τον πραγματικό προορισμό του C2 και προσθέτει ανθεκτικότητα στην υποδομή.
Αναλύσαμε πώς να δημιουργήσετε έναν redirector με το Apache2 για να προστατεύσετε το C2 σας από ανίχνευση και να αποκρύψετε την κίνησή σας στο διαδίκτυο.
Σε αυτήν την περίπτωση, χρησιμοποιώ την Ubuntu, αλλά λειτουργεί και για άλλες διανομές Linux. Ανοίξτε το τερματικό σας και εκτελέστε τις ακόλουθες εντολές:
sudo a2enmod rewrite proxy proxy_http proxy_connect
Αυτή η γραμμή εκτελεί πολλαπλές εντολές a2enmod, οι οποίες είναι scripts που αφορούν το Apache σε συστήματα βασισμένα σε Debian. Αυτά τα σενάρια χρησιμοποιούνται για να ενεργοποιήσουν modules μέσα στη διαμόρφωση του Apache. Ας σας εξηγήσω τι ακριβώς κάνει αυτή η εντολή.
-
rewrite: Αυτό είναι ένας module που επιτρέπει την επανεγγραφή των URL σύμφωνα με συγκεκριμένους κανόνες. Αυτή η δυνατότητα είναι ιδιαίτερα χρήσιμη για την συνθήκη ανακατεύθυνσης της κυκλοφορίας. Στο πλαίσιο ενός C2 redirector, ίσως χρησιμοποιήσετε κανόνες επανεγγραφής για να ανακατευθύνετε μόνο την κυκλοφορία που πληροί συγκεκριμένα κριτήρια, κάνοντας τις επικοινωνίες του C2 λιγότερο εμφανείς.
-
proxy: Αυτό το module παρέχει βασική υποστήριξη για τη λειτουργία του Apache είτε ως αντίστροφο πρόσκτησης (reverse proxy) είτε ως προωθούμενος πρόσκτησης (forward proxy). Ένας αντίστροφος πρόσκτησης λαμβάνει αιτήσεις από το διαδίκτυο και τις προωθεί σε διακομιστές σε εσωτερικό δίκτυο. Στις λειτουργίες C2, ένας αντίστροφος πρόσκτησης μπορεί να προωθεί την κυκλοφορία σε έναν κρυφό διακομιστή C2, ενώ το proxy μπορεί να ρυθμιστεί έτσι ώστε να ελαχιστοποιεί τα ύποπτα πρότυπα στην κυκλοφορία που θα μπορούσαν να ανιχνευθούν από αμυντικά μέτρα.
-
proxy_http: Αυτό το module επεκτείνει τις δυνατότητες προσκόμισης του Apache μέσω HTTP και HTTPS. Για έναν C2 redirector, είναι ζωτικής σημασίας επειδή επιτρέπει την προώθηση των αιτημάτων των πελατών προς τον πραγματικό διακομιστή C2 μέσω αυτών των κοινών πρωτοκόλλων ιστού.
-
proxy_connect: Αυτό το module επιτρέπει τη χρήση της μεθόδου CONNECT, η οποία συνήθως χρησιμοποιείται για τον τούνελαρισμό μέσω ενός διακομιστή proxy. Αυτή η μέθοδος είναι σημαντική για την αποτελεσματική δημιουργία SSL συνδέσεων μέσω του proxy, η οποία μπορεί να είναι απαραίτητη για την ασφαλή διαχείριση των επικοινωνιών C2 χωρίς να αποκαλύπτεται το περιεχόμενο της κυκλοφορίας σε ενδιάμεσες συσκευές ασφαλείας δικτύου.
sudo a2ensite 000-default.conf
Το a2ensite είναι ένα άλλο script που ενεργοποιεί έναν ιστότοπο στο Apache. Το 000-default.conf είναι το προεπιλεγμένο αρχείο διαμόρφωσης εικονικού κεντρικού υπολογιστή στο Apache. Όταν αυτή η εντολή εκτελείται, δημιουργεί ένα συμβολικό σύνδεσμο για αυτό το αρχείο διαμόρφωσης από τον κατάλογο sites-available (/etc/apache2/sites-available/) στον κατάλογο sites-enabled (/etc/apache2/sites-enabled/), ο οποίος οδηγεί το Apache να φορτώνει αυτήν τη διαμόρφωση κατά την εκκίνηση.
sudo sudo service apache2 restart
sudo vim /etc/apache2/sites-enabled/000-default.conf
Αυτή η εντολή ανοίγει το αρχείο 000-default.conf στον επεξεργαστή κειμένου vim, ο οποίος είναι ένας υψηλής παραμετροποίησης επεξεργαστής κειμένου. Σας επιτρέπει να τροποποιήσετε τη διαμόρφωση του προεπιλεγμένου εικονικού κεντρικού υπολογιστή για τον διακομιστή Apache.
Μέσα σε αυτό, θα γράψετε τις παρακάτω γραμμές:
ProxyRequests Off: Η εντολή ProxyRequests Off απενεργοποιεί τα αιτήματα προς τα εμπρός (κανονικά) αιτήματα proxy, πράγμα που σημαίνει ότι ο διακομιστής δεν θα προβάλλει αυθαίρετα αιτήματα από τους πελάτες. Αυτό συνήθως ορίζεται σε “Off” για έναν αντίστροφο διακομιστή proxy, ο οποίος είναι αυτό που διαμορφώνετε εδώ. Ένας αντίστροφος διακομιστής proxy προορίζεται να προβάλλει αιτήματα προς προκαθορισμένους προορισμούς (σε αυτήν την περίπτωση, τον διακομιστή C2), αντί να ενεργεί ως γενικός διακομιστής proxy.
ProxyPass /en-us/index.html http://xxx.xxx.xxx.xxx/en-us/index.html: Η εντολή `ProxyPass /en-us/index.html http://xxx.xxx.xxx.xxx/en-us/index.html` ορίζει μια κανόνα proxy pass. Όταν ο διακομιστής Apache λάβει ένα αίτημα για το `/en-us/index.html`, θα προωθήσει αυτό το αίτημα στο `http://xxx.xxx.xxx.xxx/en-us/index.html`, όπου το `xxx.xxx.xxx.xxx` είναι η διεύθυνση IP του διακομιστή Covenant C2 σας. Αυτό σημαίνει ότι οποιοσδήποτε πλοηγείται στο `/en-us/index.html` στον διακομιστή Apache θα λαμβάνει το περιεχόμενο από τον διακομιστή Covenant, χωρίς άμεση εκθέσει της διεύθυνσης IP του διακομιστή C2.
ProxyPassReverse /en-us/index.html http://xxx.xxx.xxx.xxx/en-us/index.html: Η εντολή `ProxyPassReverse /en-us/index.html http://xxx.xxx.xxx.xxx/en-us/index.html` χρησιμοποιείται σε συνδυασμό με την εντολή ProxyPass και είναι κρίσιμη για την χειρισμό των HTTP headers των απαντήσεων που προέρχονται από τον διακομιστή C2. Όταν οι απαντήσεις στέλνονται πίσω στον πελάτη, αυτή η εντολή αναγράφει ξανά οποιαδήποτε headers αναφέρονται στην εσωτερική διεύθυνση IP του διακομιστή C2 έτσι ώστε να δείχνουν στη διεύθυνση του διακομιστή proxy αντίστοιχα. Αυτό εξασφαλίζει ότι η εμπειρία του πελάτη παραμένει απροβλημάτιστη και ότι η πραγματική τοποθεσία του διακομιστή C2 παραμένει κρυμμένη.
ProxyPass /en-us/docs.html http://xxx.xxx.xxx.xxx/en-us/docs.html and ProxyPassReverse /en-us/docs.html http://xxx.xxx.xxx.xxx/en-us/docs.html: Οι εντολές `ProxyPass /en-us/docs.html http://xxx.xxx.xxx.xxx/en-us/docs.html` και `ProxyPassReverse /en-us/docs.html http://xxx.xxx.xxx.xxx/en-us/docs.html` είναι παρόμοιες με τις προηγούμενες εντολές ProxyPass και ProxyPassReverse αλλά εφαρμόζονται στη διαδρομή `/en-us/docs.html`. Κάθε ζευγάρι είναι υπεύθυνο για την προώθηση αιτημάτων προς διαφορετική διαδρομή στο διακομιστή, επιτρέποντάς σας να έχετε πολλές σελίδες που προωθούνται μέσω proxy, καθεμία ενδεχομένως να εξυπηρετεί διαφορετική λειτουργία ή να φιλοξενεί διαφορετικό περιεχόμενο που σχετίζεται με τη λειτουργία του διακομιστή C2.
ProxyPass /en-us/test.html http://xxx.xxx.xxx.xxx/en-us/test.html and ProxyPassReverse /en-us/test.html http://xxx.xxx.xxx.xxx/en-us/test.html: Οι εντολές `ProxyPass /en-us/test.html http://xxx.xxx.xxx.xxx/en-us/test.html` και `ProxyPassReverse /en-us/test.html http://xxx.xxx.xxx.xxx/en-us/test.html` εξυπηρετούν τον ίδιο σκοπό με τα προηγούμενα ζεύγη εντολών ProxyPass και ProxyPassReverse αλλά εφαρμόζονται στη διαδρομή `/en-us/test.html`. Αυτές οι εντολές κατευθύνουν την κίνηση προς αυτή τη διαδρομή στον αντίστοιχο διακομιστή C2.
Αυτές οι ρυθμίσεις μετατρέπουν ουσιαστικά τον διακομιστή Apache σας σε εξειδικευμένο αντίστροφο διαμεσολαβητή (reverse proxy) για τον διακομιστή Covenant C2 σας, με στόχο την απόκρυψη της προέλευσης των επικοινωνιών C2. Σχεδιάστηκε έτσι ώστε η κίνηση να φαίνεται ότι προορίζεται για και προέρχεται από τον διακομιστή proxy, βοηθώντας έτσι στην κάλυψη της παρουσίας και της τοποθεσίας του πραγματικού διακομιστή C2.
Αυτά είναι όλα, είστε έτοιμοι για λειτουργία. Την επόμενη φορά θα σας δείξω πώς να χρησιμοποιήσετε τον διακομιστή Covenant C2 σας με αυτόν τον ανακατευθυντή.
@anastasi πραγματικα απορω πως αφηνουν στο iguru την προσβλητικοτατη ατακα κατω απο το ονομα σου. Ντροπη
Δεν καταλαβαίνω την έκρηξή σου μικρό μου πόνι.