В динамичном ландшафте операций по обеспечению кибербезопасности использование серверов управления и контроля (C2) является критически важным компонентом координации скоординированных задач в скомпрометированных системах. Однако прямое взаимодействие с C2 часто делает оператора уязвимым для обнаружения и мер противодействия. Именно здесь стратегическое внедрение перенаправления играет ключевую роль.
Редиректор действует как посредник, скрывающий истинную конечную точку C2, направляя данные через, казалось бы, безобидные ретрансляторы. Используя редиректор, злоумышленники могут скрывать свой трафик, тем самым усложняя защитные меры по отслеживанию вредоносной активности до её источника.
Редиректор не только маскирует трафик C2, чтобы обойти сетевую защиту, но и добавляет уровень устойчивости, гарантируя, что основная инфраструктура останется скрытой и работоспособной, несмотря на вредоносные сбои. В этой статье мы подробно рассмотрим, как настроить редиректор с помощью Apache2 — адаптивной и надежной платформы, предоставляющей необходимые функции для создания обманного фасада, защищая ваш C2 за завесой обычного интернет-шума. В этой статье мы установим собственный редиректор для взаимодействия с нашим C2.
В данном случае я использую Ubuntu, но это работает и для других дистрибутивов Linux. Перейдите в терминал и выполните следующие команды:
Эта строка запускает несколько команд a2enmod — скриптов, специфичных для Apache в системах на базе Debian, для включения модулей в конфигурации Apache. Но позвольте мне объяснить, что это за команда.
a2ensite: — ещё один скрипт, активирующий сайт в Apache. 000-default.conf — это файл конфигурации виртуального хоста по умолчанию в Apache. При выполнении этой команды создаётся символическая ссылка на этот файл конфигурации из каталога sites-available (/etc/apache2/sites-available/) в каталог sites-enabled (/etc/apache2/sites-enabled/), что указывает Apache загружать эту конфигурацию при запуске.
3. sudo sudo service apache2 restart
4. sudo vim /etc/apache2/sites-enabled/000-default.conf
Эта команда открывает файл 000-default.conf в vim, текстовом редакторе с широкими возможностями настройки. Он позволяет изменять конфигурацию виртуального хоста по умолчанию для сервера Apache.
Внутри вы напишете следующие строки:
ProxyRequests Off: эта директива отключает пересылку (стандартных) прокси-запросов, то есть сервер не будет проксировать произвольные запросы от клиентов. Обычно для обратного прокси-сервера,
который мы здесь настраиваем, установлено значение «Off». Обратный прокси-сервер предназначен для проксирования запросов на предопределённые назначения (в данном случае на сервер C2), а не для работы в качестве прокси-сервера общего назначения.
ProxyPass /en-us/index.html http://xxx.xxx.xxx.xxx/en-us/index.html: Эта строка устанавливает правило пропуска прокси-сервера. Когда сервер Apache получает запрос на /en-us/index.html, он перенаправляет его на http://xxx.xxx.xxx.xxx/en-us/index.html, где xxx.xxx.xxx.xxx — IP-адрес вашего сервера Covenant C2. Это означает, что любой, кто перейдет по адресу /en-us/index.html на сервере Apache, получит контент с сервера Covenant, без прямого указания IP-адреса сервера Covenant.
ProxyPassReverse /en-us/index.html http://xxx.xxx.xxx.xxx/en-us/index.html: Директива ProxyPassReverse используется совместно с ProxyPass и критически важна для обработки HTTP-заголовков ответов, поступающих от сервера C2. При отправке ответов обратно клиенту эта директива перезаписывает все заголовки, ссылающиеся на внутренний IP-адрес сервера C2, чтобы они указывали на адрес прокси-сервера. Это гарантирует бесперебойную работу клиента и скрытие фактического местоположения сервера C2.
ProxyPass /en-us/docs.html http://xxx.xxx.xxx.xxx/en-us/docs.html и ProxyPassReverse /en-us/docs.html http://xxx.xxx.xxx.xxx/en-us/docs.html: Эти директивы аналогичны предыдущим директивам ProxyPass и ProxyPassReverse, но применяются к пути /en-us/docs.html. Каждая пара отвечает за проксирование разных путей на сервере, что позволяет создавать несколько проксируемых страниц, каждая из которых может выполнять свою функцию или содержать разный контент, связанный с работой сервера управления.
ProxyPass /en-us/test.html http://xxx.xxx.xxx.xxx/en-us/test.html и ProxyPassReverse /en-us/test.html http://xxx.xxx.xxx.xxx/en-us/test.html: Эти директивы выполняют ту же функцию, что и предыдущие пары ProxyPass и ProxyPassReverse, но применяются к пути /en-us/test.html. Они перенаправляют трафик, предназначенный для этого пути, на соответствующий путь на сервере C2.
Эти конфигурации, по сути, превращают ваш сервер Apache в специализированный обратный прокси-сервер для вашего сервера Covenant C2, чтобы скрыть источник соединений с C2. Это сделано для того, чтобы трафик выглядел так, будто он направлен на прокси-сервер и исходит с него, тем самым скрывая присутствие и местоположение настоящего сервера C2.
Вот и всё, вы готовы к работе. В следующий раз я покажу вам, как использовать ваш сервер Covenant C2 с этим редиректором.
Также обязательно проверьте:
Серия «Command & Control», часть I (Установка собственного сервера C2 на Kali Linux)
Серия Command & Control, часть II (Управление собственным сервером C2)
Редиректор действует как посредник, скрывающий истинную конечную точку C2, направляя данные через, казалось бы, безобидные ретрансляторы. Используя редиректор, злоумышленники могут скрывать свой трафик, тем самым усложняя защитные меры по отслеживанию вредоносной активности до её источника.
Редиректор не только маскирует трафик C2, чтобы обойти сетевую защиту, но и добавляет уровень устойчивости, гарантируя, что основная инфраструктура останется скрытой и работоспособной, несмотря на вредоносные сбои. В этой статье мы подробно рассмотрим, как настроить редиректор с помощью Apache2 — адаптивной и надежной платформы, предоставляющей необходимые функции для создания обманного фасада, защищая ваш C2 за завесой обычного интернет-шума. В этой статье мы установим собственный редиректор для взаимодействия с нашим C2.
В данном случае я использую Ubuntu, но это работает и для других дистрибутивов Linux. Перейдите в терминал и выполните следующие команды:
- sudo a2enmod переписать прокси proxy_http proxy_connect
Эта строка запускает несколько команд a2enmod — скриптов, специфичных для Apache в системах на базе Debian, для включения модулей в конфигурации Apache. Но позвольте мне объяснить, что это за команда.
- Rewrite: это модуль, позволяющий переписывать URL-адреса в соответствии с заданными правилами. Эта возможность особенно полезна для условного перенаправления трафика. В контексте C2-редиректора вы можете использовать правила перезаписи, чтобы перенаправлять только трафик, соответствующий определённым критериям, фактически делая ваши C2-коммуникации менее заметными.
- Прокси: Этот модуль обеспечивает базовую поддержку Apache в качестве обратного или прямого прокси-сервера. Обратный прокси-сервер принимает запросы из интернета и перенаправляет их на серверы во внутренней сети. В операциях C2 обратный прокси-сервер может перенаправлять трафик на скрытый сервер C2, при этом сам прокси-сервер можно настроить для минимизации подозрительных шаблонов в трафике, которые могут быть обнаружены средствами защиты.
- proxy_http: Этот модуль расширяет возможности Apache по проксированию по протоколам HTTP и HTTPS. Для C2-редиректора он крайне важен, поскольку позволяет перенаправлять клиентские запросы на сервер C2 по этим распространённым веб-протоколам.
- proxy_connect: Этот модуль позволяет использовать метод CONNECT, обычно применяемый для туннелирования через прокси-сервер. Этот метод важен для настройки SSL-соединений через прокси-сервер, что может быть необходимо для безопасного управления коммуникациями C2 без раскрытия содержимого трафика промежуточным сетевым устройствам безопасности.
a2ensite: — ещё один скрипт, активирующий сайт в Apache. 000-default.conf — это файл конфигурации виртуального хоста по умолчанию в Apache. При выполнении этой команды создаётся символическая ссылка на этот файл конфигурации из каталога sites-available (/etc/apache2/sites-available/) в каталог sites-enabled (/etc/apache2/sites-enabled/), что указывает Apache загружать эту конфигурацию при запуске.
3. sudo sudo service apache2 restart
4. sudo vim /etc/apache2/sites-enabled/000-default.conf
Эта команда открывает файл 000-default.conf в vim, текстовом редакторе с широкими возможностями настройки. Он позволяет изменять конфигурацию виртуального хоста по умолчанию для сервера Apache.
Внутри вы напишете следующие строки:
ProxyRequests Off: эта директива отключает пересылку (стандартных) прокси-запросов, то есть сервер не будет проксировать произвольные запросы от клиентов. Обычно для обратного прокси-сервера,
который мы здесь настраиваем, установлено значение «Off». Обратный прокси-сервер предназначен для проксирования запросов на предопределённые назначения (в данном случае на сервер C2), а не для работы в качестве прокси-сервера общего назначения.
ProxyPass /en-us/index.html http://xxx.xxx.xxx.xxx/en-us/index.html: Эта строка устанавливает правило пропуска прокси-сервера. Когда сервер Apache получает запрос на /en-us/index.html, он перенаправляет его на http://xxx.xxx.xxx.xxx/en-us/index.html, где xxx.xxx.xxx.xxx — IP-адрес вашего сервера Covenant C2. Это означает, что любой, кто перейдет по адресу /en-us/index.html на сервере Apache, получит контент с сервера Covenant, без прямого указания IP-адреса сервера Covenant.
ProxyPassReverse /en-us/index.html http://xxx.xxx.xxx.xxx/en-us/index.html: Директива ProxyPassReverse используется совместно с ProxyPass и критически важна для обработки HTTP-заголовков ответов, поступающих от сервера C2. При отправке ответов обратно клиенту эта директива перезаписывает все заголовки, ссылающиеся на внутренний IP-адрес сервера C2, чтобы они указывали на адрес прокси-сервера. Это гарантирует бесперебойную работу клиента и скрытие фактического местоположения сервера C2.
ProxyPass /en-us/docs.html http://xxx.xxx.xxx.xxx/en-us/docs.html и ProxyPassReverse /en-us/docs.html http://xxx.xxx.xxx.xxx/en-us/docs.html: Эти директивы аналогичны предыдущим директивам ProxyPass и ProxyPassReverse, но применяются к пути /en-us/docs.html. Каждая пара отвечает за проксирование разных путей на сервере, что позволяет создавать несколько проксируемых страниц, каждая из которых может выполнять свою функцию или содержать разный контент, связанный с работой сервера управления.
ProxyPass /en-us/test.html http://xxx.xxx.xxx.xxx/en-us/test.html и ProxyPassReverse /en-us/test.html http://xxx.xxx.xxx.xxx/en-us/test.html: Эти директивы выполняют ту же функцию, что и предыдущие пары ProxyPass и ProxyPassReverse, но применяются к пути /en-us/test.html. Они перенаправляют трафик, предназначенный для этого пути, на соответствующий путь на сервере C2.
Эти конфигурации, по сути, превращают ваш сервер Apache в специализированный обратный прокси-сервер для вашего сервера Covenant C2, чтобы скрыть источник соединений с C2. Это сделано для того, чтобы трафик выглядел так, будто он направлен на прокси-сервер и исходит с него, тем самым скрывая присутствие и местоположение настоящего сервера C2.
Вот и всё, вы готовы к работе. В следующий раз я покажу вам, как использовать ваш сервер Covenant C2 с этим редиректором.
Также обязательно проверьте:
Серия «Command & Control», часть I (Установка собственного сервера C2 на Kali Linux)
Серия Command & Control, часть II (Управление собственным сервером C2)
