Когда пользователь дважды щелкает по нашему вредоносному исполняемому файлу chrome, stage1.ps1 и stage2.ps1 загружаются и выполняются с нашего сервера, затем создается сессия на Villain, и в конце концов для пользователя Google Chrome открывается как обычно.
Атакующим придется потрудиться, чтобы обойти обновленные в этом году средства защиты, но это далеко не невозможно, даже с анализом в реальном времени. Надеюсь, вам понравился этот пост!
БОНУС: C2 через интернет
- быстрое и надежное решение для туннелирования локальных хостингов
Pagekite можно использовать для доставки и выполнения наших PS-скриптов через интернет вместо локальной сети. Зарегистрируйтесь с действующим адресом электронной почты для получения 30-дневной бесплатной пробной версии. Также можно использовать дешевый VPS с публичным IP-адресом для получения обратного шелла netcat, сгенерированного с помощью Villain.
Сначала измените IP-адрес вашей машины-атакующего на IP-адрес публичного VPS, чтобы мы могли подключаться через интернет.
Затем создайте веб-сервер, который будет размещать файлы stage1.ps1 и stage2.ps1 на нашем домене PageKite FQDN, который будет выглядеть как python3.pagekite.me.
Наконец, измените скрипт test.ps1 так, чтобы он загружал файлы с PageKite, а не с локального хоста. Затем преобразуйте его в исполнимый файл, как ранее, и отправьте его жертве.
На нашем VPS откройте Villain и дождитесь подключения через интернет (возможно, потребуется настроить переадресацию портов).
Теперь мы получаем обратную оболочку, используя PageKite и VPS.
