官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
secist- 关注
Imaginary C2是一款python工具,可帮助安全研究人员分析恶意软件(网络)行为。Imaginary C2上托管了一个HTTP服务器,用于捕获选定域/IP的HTTP请求。此外,该工具还可用于重放捕获的C&C响应/payloads,使这个过程变得更加方便快捷。
通过使用该工具,分析师可以向恶意软件提供一致的网络响应(例如,恶意软件要执行的C&C指令),以及捕获并检查对分析时离线域/IP的HTTP请求。
重放数据包捕获
Imaginary C2提供了两个脚本,用于将数据包捕获(PCAP)或Fiddler会话存档转换为可由Imaginary C2解析的请求定义。通过这些脚本,用户可以提取HTTP请求URL和域,以及HTTP响应。这样,便可以快速的重放给定HTTP请求的HTTP响应了。
技术细节
安装环境:Python 2.7 和 Windows。
模块:当前,Imaginary C2包含三个模块以及两个配置文件:
| 文件名 | 功能 |
|---|---|
| 1. imaginary_c2.py | 托管python的简单HTTP服务器。主要模块。 |
| 2. redirect_to_imaginary_c2.py | 更改Windows的主机文件和Windows(IP)路由表。 |
| 3. unpack_fiddler_archive.py & unpack_pcap.py | 从数据包捕获中提取HTTP响应。将相应的HTTP请求域和URL添加到配置文件中。 |
| 4. redirect_config.txt | 包含需要重定向到localhost(到python HTTP服务器)的域和IP。 |
| 5. requests_config.txt | 包含具有相应数据源的URL路径定义。 |
请求定义:在请求配置中的各个(HTTP)请求定义包含两个参数:
参数1:HTTP请求URL路径(a.k.a. urlType)
| 值 | 含义 |
|---|---|
| fixed | 定义URL路径作为一个literal字符串 |
| regex | 定义一个URL路径匹配正则表达式 |
参数2:HTTP响应源(a.k.a. sourceType)
| 值 | 含义 |
|---|---|
| data | Imaginary C2 将响应磁盘上文件的内容 |
| python | Imaginary C2 将运行python脚本。python脚本输出定义HTTP响应。 |
演示用例:模拟TrickBot服务器
虚构C2可用于模拟TrickBot服务器(包括其组件和配置文件)。此外,它还可用于模拟TrickBot的Web注入服务器。
它是如何工作的?
执行时,TrickBot downloader会连接到一组硬编码的IP获取一些配置文件。其中一个配置文件包含了TrickBot插件服务器的位置(IP地址)。TrickBot downloader会从这些服务器下载插件(模块)并进行解密。然后将解密的模块注入到svchost.exe实例。
TrickBot其中有一个injectdll的插件,该插件主要负责TrickBot webinjects。injectdll插件会定期获取一组更新的webinject配置,并对配置中的各个目标(银行)网站,定义webfake服务器地址。当受害者浏览TrickBot所针对的(银行)网站时,他的浏览器会被神不知鬼不觉地重定向到webfake服务器。而webfake服务器上则会托管该目标站点的克隆版本。攻击者通常会结合社工的手段来欺骗受害者,以达到最终的目的。
视频演示
在视频中你可以看到,在svchost.exe中运行的TrickBot downloader,连接到了imaginary C2并下载了两个模块。
显示了在svchost.exe中运行的TrickBot下载器并连接到想象C2以下载两个模块。每个下载的模块都会注入一个新生成的svchost.exe实例。webinject模块试图窃取浏览器中保存的密码,并将窃取的密码泄露给TrickBot服务器。在访问目标银行网站时,TrickBot将浏览器重定向到了webfake服务器。完整视频可以在这里观看。
*参考来源:github,FB小编 secist 编译,转载请注明来自FreeBuf.COM
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
- 369 文章数
- 267 关注者