红队视角下木马架构整理.md

红队视角下的后门

来自 https://www.freebuf.com/news/259752.html

dll劫持执行恶意代码
9层环境检测，判断环境上下文安全，是否继续执行
检查通过，使用DGA算法生成的域名发送DNS上线通知，检查DNS解析结果是否满足自身运行要求
DNS上线通知成果，使用两种User-Agent和三种代理模式，与C2服务器建立HTTP控制通道
前期后门不需要处理很多指令，只需要能够下载自定义Payload，例如Cobalt Strike beacon，进行下一步操作

代码执行

无论是红队后渗透还是真实APT攻击，第一步要在受害者的机器上运行起来控制程序（agent/implant/artifact）。Windows系统上的代码执行的方法有很多，也可以从多种角度进行分类和总结。这里作者将之分为以下三类：

(1)BYOB: Bring Your Own Binary，就是把后门、工具、武器编译成exe文件，上传到目标主机上并运行。这也是最直接的执行方式。缺点是需要不断的编译和上传、要处理杀软和EDR的静态检测等等。

(2)LotL: Living off the Land，可以理解为就地取材，利用Windows系统和应用程序来加载执行恶意代码，典型的案例就是利用powershell的攻击。这种方式利用白名单程序来加载，会有一定规避检查的优点，但会产生明显的父子进程关系和进程参数，容易被猎捕。

(3)BYOL: Bring Your Own Land，这也是FireEye提出的一种方法，在使用前两种方法建立了基本的代码执行能力后，在内存中加载并运行Windows的PE文件、.NET assembly文件。优点是跳过了静态文件查杀，不会明显产生进程间调用关系和进程调用参数，缺点是需要自己开发内存加载执行的代码，很多常规的命令需要自己重新实现。

值得关注的

代码使用自定义hash算法，常量字符串都进行hash处理，避免敏感字符串在传输流量和本地文件扫描时发现。实际使用的地方有9处，下图是进程名检测部分:

环境检测

9层检测机制，都通过时，再执行上线。

通过hash判断加载的恶意dll进程名称
写入时间比当前时间至少提前12～14天，潜伏半个月执行
硬编码检测命名通道，避免多进程重复执行
检查当前设备所在域，域名中不能包含哈希值校验的黑名单patternHashes中的一些字符串；域名不能匹配到正则表达式“(?i)([^a-z]|^)(test)([^a-z]|$)”，该表达示主要用来检查当前域名是不是测试用的域名；”(?i)(solarwinds)”，猜测该表达式主要用来检测是否处于sloarwinds公司办公环境
检查第一个非回环网卡，不在IP黑名单中
检测进程Hash黑名单(包含137个进程)，确保当前环境中没有安全相关软件和服务程序，如Windbg,Autoruns,Wireshark，并尝试关闭服务名单中服务
检测当前环境是否存在13个安全软件的驱动程序
主机解析 api.solarwinds.com 为指令ip地址(供应链攻击隐藏)

值得关注的

红队技术传统技术往往高度关注进程列表检测、驱动列表检测的技巧

对于杀软和安全软件的检测，我们通常使用taskllist /v和tasklist /svc来检查进程和服务，可以认为这是一种手工判断+LotL的方法。这里推荐两款自动化的检测脚本和工具，大家可以根据自己的需求进行改造，结合内存加载实现BYOL的方式来检查安全软件。

(1)ProcessColor.cna，一款Cobalt Strike的插件脚本，可以帮助我们标记出常见的安全软件、监控软件、分析软件。

(2)Seatbelt的InterestingProcesses命令，C#开发的多功能信息搜集工具，可单独使用，可结合其他程序实现内存加载。

2.1.2 驱动检测

既然进程和服务都检测了，那么检测这些驱动有什么意义吗？

在常规的情况下，检查进程和服务名称就可以了解当前系统的安全软件运行情况，但是一些高级系统管理员会修改进程和服务的名称，我们就没办法判断了。Sunburst后门在环境检测中还检查了系统驱动，这些驱动大部分都是杀软和EDR产品使用的。这一点是值得红队人员借鉴的，下面以sysmon为例进行说明。

C2通道

对于红队来说，最常规的出网协议是HTTP[S]和DNS协议，但是大多数情况是手动判断目标的网络环境后来选择C2通信的方式。虽然能够修改和自定义C2通信协议，无疑是规避流量检测的好方法，但是相对的成本会比较高，需要同时兼顾客户端和服务端，还需要保证通信质量。简易的做法是利用后渗透框架自身的配置来修改C2流量特征，比如Cobalt Strike、Empire、Covenant等工具都支持Malleable C2 profile的配置。

监测蓝队是否分析自己implant

将制定DNS域名以常量字符串形式嵌入implant，生成独一无二的DNS域名，只要收到这个DNS查询请求，说明我们的行动已经被发现。

同理，可监测web

尽可能展现正常的数据

回复正常的数据，客户端从正常数据中提取需要的数据

以下是黑客C2服务器对远端受害主机控制命令的类型和功能：

命令	值	详细描述
空闲	0	无
退出	1	结束当前进程
设置延迟时间	2	设置主事件循环执行的延迟时间
收集系统信息	3	解析本地系统信息，包括主机名、用户名、操作系统版本、MAC地址、IP地址、DHCP配置和域信息
上传系统信息	4	向指定的URL发送HTTP请求，并把系统信息以特殊格式发送到C2服务器
启动新任务	5	根据文件路径和参数启动新进程
枚举进程信息	6	获取进程列表，并根据参数决定是否获取父进程ID、用户名、域名
结束任务	7	根据PID结束指定进程
枚举文件信息	8	根据文件路径枚举文件和目录
写入文件	9	根据文件路径和Base64编码字符串，将Base64解密字符串的内容以追加模式写入文件，写入后延迟1-2秒
判断文件是否存在	10	判断文件路径是否存在
删除文件	11	根据文件路径删除文件
获取文件哈希	12	获取文件的MD5哈希信息
读注册表值	13	读取注册表值
设置注册表值	14	设置注册表值
删除注册表值	15	删除注册表值
获取注册表子项和值	16	获取注册表路径下的子项和值名称的列表
重启	17	尝试使系统重启

高度迷惑性的DGA算法

如果样本通过上述阶段，则样本将在while循环中通过DGA算法开始生成域。样本会延迟域生成之间的随机间隔；此时间间隔可以是1到3分钟，30到120分钟或在错误条件下最长420到540分钟（9小时）范围内的任意随机值。

总共用四种方法来生成url，分别为GetCurrentString，GetPreviousString，GetNextStringEx和GetNextString函数。

其中GetCurrentString/GetPreviousString可以认为是第一阶段DGA，包含可以完整解析的域名，GetNextStringEx/GetNextString可以认为是第二阶段DGA，包含了有效的服务器时间戳等信息。

不管哪种生成方式，在OrionImprovementBusinessLayer.GetOrCreateUserID中，HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography的 MachineGuid值和第一个网络适配器的物理地址MAC组成了UID，并通过计算UID的MD5哈希，再用ComputeHash类的方法将 MD5 哈希值作为16字节的数组返回，异或之后最终输出64位哈希值这样得到目标GUID。GUID通过CreateSecureString函数进行加密，CreateSecureString函数中使用了CryptoHelper.Base64Encode算法加密。所以整个加密过程全是CryptoHelper.Base64Encode函数和CryptoHelper.Base64Decode函数实现的，研究的重点就是CryptoHelper.Base64Encode函数和CryptoHelper.Base64Decode函数。然而这两个函数都并不是名称表示的常见的Base64编解码函数。