Sömürü sonrası operasyonlar için kritik öneme sahip C2 çerçeveleri, Cobalt Strike’a açık kaynaklı alternatifler sunar. Tehlikeye atılmış sistemlerin yönetimini kolaylaştırır, verimli iş birliğini mümkün kılar ve özelleştirilebilir davranışlar sağlayarak tespitten kaçınır.
Saldırganların tehlikeye atılmış sistemleri uzaktan kontrol etmek ve yönetmek için kullandıkları bir araç takımıdır. Ajanlar, ekip sunucuları ve istemcilerden oluşur ve kaçınma, veri sızdırma ve görev yönetimi gibi özellikler içerir.
Aracılar, iletişimi yöneten ve aracı oluşturma ve veri depolama gibi hizmetleri sağlayan ekip sunucularına bağlanır.
Açık kaynaklı C2 çerçeveleri çeşitlidir ve genellikle bileşen birleştirmesiyle sınırlıdır.
Golang ve C# modern frameworklere hakimken, Python ve PowerShell eski tercihlerdir. Popüler frameworkler arasında Mythic, Sliver ve Havoc bulunur.
Küçük İşletmelerin Gelişmiş Siber Tehditlere Karşı Nasıl Korunacağına Dair Ücretsiz Web Semineri -> Ücretsiz Kayıt
C2 çerçeveleri, veri sızdırma, ayrıcalık yükseltme ve hizmet reddi gibi durumlara yol açabilen, tehlikeye atılmış aracılar ve ekip sunucuları ile kimliği doğrulanmamış üçüncü taraf saldırılarından kaynaklanan tehditlerle karşı karşıyadır.
Golang tabanlı bir C2 framework’ü olan Sliver, güçlü ve güvenilir aracılar, çok yönlü yürütme yöntemleri ve kapsamlı bir uzantı kütüphanesi sunuyor.
Yüksek kaliteli ajan mimarisi ve kodu güvenli iletişimi ve güvenilir işlemleri garanti eder.
Bu güvenlik açığı, kimliği doğrulanmış Sliver operatörlerinin, Metasploit aşamalı düzenleyicisini bir araya getirilmiş ikili dosyanın üzerine yazarak ekip sunucusunda keyfi kod yürütmesine olanak sağlıyordu. Bu durum, generate msf-stager komutunun kaldırılması ve operatörlere aşamalı düzenleyicilerini yerel olarak geliştirmeleri talimatının verilmesiyle düzeltildi.
Qt GUI’li bir C2 framework’ü olan Havoc, uzaktan kabuk kodu yürütme için işlem enjeksiyonu ve .NET satır içi derlemesi sunuyor.
Daha az olgunlaşmış kod tabanına rağmen Havoc’un etkileyici kullanıcı arayüzü ve aktif geliştirmesi onu Sliver’a umut vadeden bir alternatif haline getiriyor.
Ekip sunucusunda, exec.Command() çağrısında temizlenmemiş “Hizmet Adı” girişi nedeniyle kimliği doğrulanmış bir RCE güvenlik açığı bulunmaktadır.
Bir saldırgan, alanda belirli bir yük oluşturarak derleme sürecine keyfi komutlar enjekte edebilir ve bu da uzaktan kod yürütülmesine yol açabilir.
Araştırmacı, Havoc’un Hizmet API’sinde, yanlış kimlik bilgilerinin başarısız bir kimlik doğrulamaya yol açmadığı ve bunun da kötü amaçlı servislerin ekip sunucusuna bağlanıp yetkisiz mesajlar göndermesine olanak tanıyan bir kimlik doğrulama atlaması keşfetti.
İki C2 çerçevesinde kimliği doğrulanmış RCE’ler bulundu, ancak kimlik doğrulaması olmadan bunları kullanamadık.
Gizli bir C2 framework’ü olan Ninja C2’yi inceledikten sonra, gizliliğe odaklanan Sliver ve Havoc’a benzer özellikler buldular.
Ninja web sunucusu, yol geçişi nedeniyle kimliği doğrulanmamış keyfi dosya indirmelerine karşı savunmasızdır ve bu da uzaktan kod yürütülmesine yol açar.
Kötü niyetli bir ajan, ekip sunucusuna kayıt olabilir ve güvenlik açığından yararlanarak kötü amaçlı bir dosyayı keyfi bir konuma yükleyebilir.
Modüler bir C2 çerçevesi olan SHAD0W, ekip sunucusunda çalıştırılan komutlara güvenilmeyen işaret tarafından sağlanan değerlerin enjekte edilmesi nedeniyle kimliği doğrulanmamış RCE’ye karşı savunmasızdır. Bu değerler, modül derlemesinde kullanıldığında kötü niyetli kişiler tarafından ekip sunucusunda keyfi komutlar yürütmek için kullanılabilir.
Daha önce kırmızı takım operasyonları için popüler olan Covenant çerçevesi, bir kullanıcının kullanıcı arayüzündeki bir açığı kullanarak yönetici ayrıcalıkları elde edebildiği ve ardından sunucuda keyfi C# kodu çalıştırmak için özel HTTP profilleri oluşturabildiği ve potansiyel olarak uzaktan kod yürütülmesine yol açabilen bir ayrıcalık yükseltme saldırısına karşı savunmasızdır.
Include Security’ye göre, C2 çerçevelerinin karmaşıklığı ve güvenilmeyen girdileri işleme gereksinimi, bunları RCE saldırılarına karşı savunmasız hale getiriyor.
Çoğu çerçeve doğrulama önlemleri uygularken, gözden kaçırılan noktalar istismara yol açabilir.
Herhangi birini analiz edinSuspicious Links Using ANY.RUN's New Safe Browsing Tool: Try It for Free