Kötü adam, birden fazla ters TCP ve Hoaksshell tabanlı kabukları yönetmek için tasarlanmış açık kaynaklı bir aşama 0/1 komut ve kontrol (C2) çerçevesidir.
Basitçe bağlantıları ele almanın ötesinde, kötü adam bu kabukları ek işlevsellik ile geliştirir, komutlar ve yardımcı programlar sunar ve farklı makinelerde (kardeş sunucuları) çalışan kötü adamlar arasında Shell oturumlarının paylaşılmasına izin verir.
“Ana fikir, CTF’lerde kullanılan en yaygın ters kabuk türleri için ve zaman zaman MSFvenom tarafından üretilenler gibi penetrasyon testlerinde, MSFvenom tarafından üretilen penetrasyon testlerinde, Panajiotis tarafından üretilen penetrasyon testlerinde süper hızlı bir çok yerli oluşturmaktı.
Geleneksel ters kabuklar genellikle güvenilmez, kullanıcıya standart hata (stderr) döndürme veya belirli komutlar veya yazım hataları yürütüldüğünde asma gibi temel işlevsellik eksiktir. Kötü adam bu sorunları kafa kafaya ele alıyor. T3L3machus, “Kötü adam bu yaygın kabukları çeşitli tekniklerle stabilize ediyor” diyor. “Örneğin, STDERR’yi korumak için kullanıcı tarafından denilen PowerShell tabanlı Ters Kabuk komutlarını deneme komut dosyası bloklarında sarar ve eşleştirilmemiş bir alıntı veya kabuğu asabilecek etkileşimli bir oturum açma girişimleri gibi ortak yazım hataları için kullanıcı tarafından verilen komutları inceler.”
Stabilizasyonun ötesinde, kötü adam, HTTP üzerinden dosya yüklemeleri ve komut dosyası enjeksiyonu gibi yerleşik yardımcı programlara sahip yerleşik kabukları seanslara geliştirir. Ayrıca, üretim sırasında PowerShell tabanlı yükler için temel kodlama ve gizleme seçenekleri sunar ve kullanıcıların basit algılama mekanizmalarından kaçınmasına yardımcı olur.
Villain’in göze çarpan özelliklerinden biri işbirlikçi tasarımıdır. T3L3Machus, “Varsa, saniyeler içinde yüklenebilen ve kullanıcıların basit bir komut vererek birbirleriyle anında bağlantı kurmaları için bir arayüz sağlayabilen çok az C2 çerçevesi var” diyor. “Temel olarak, kötü adam aynı anda bir müşteri ve sunucu gibi davranıyor.” Bağlı kullanıcılar, her bağlı kötü adam örneğini (kardeş sunucusu) şifreli bir proxy olarak kullanarak mesajları sohbet benzeri bir şekilde yayınlayabilir ve birbirlerinin yerleşik ters kabuklarıyla etkileşime girebilir. ”
Kötü adam: Temel Özellikler
Çerçevenin ana özellikleri şunları içerir:
- Varsayılan, özelleştirilebilir ve/veya kullanıcı tanımlı yük şablonlarına (Windows ve Linux) dayalı yük üretimi
- Kabuk seansları arasında hızlı bir şekilde hızlı bir şekilde hızlı olabilen dinamik olarak meşgul bir sahte kabuk istemi
- Dosya Yüklemeleri (HTTP aracılığıyla)
- Aktif oturumlara karşı komut dosyalarının dosyasız yürütülmesi
- Tamamen etkileşimli bir Windows Kabuğu kazanmak için yeni bir süreç olarak bir PowerShell R-Shell oturumuna karşı Conptyshell Otomatik
- Çok oyunculu mod
- Oturum Defender (kullanıcının verilen hatalar / kasıtsız giriş için komutları denetleyen bir özellik, bir kabuğun asmasına neden olabilecek).
Gelecek Planları ve İndir
“Gelecekteki geliştirme öncelikleri, daha iyi ikili kullanım için enjekte işlevselliğinin optimize edilmesi, kötü adam örneklerinin ve aktif kabukların gerçek zamanlı izlenmesi için Web tabanlı bir GUI uygulamak, gelişmiş AV ve EDR kaçırma tekniklerine sahip daha gelişmiş ajanlar oluşturmak ve genel sistem istikrarını geliştirmektir. Bu özelliklerin birçoğu, çevrimdışı yapılara kısmen entegre edilmiştir” T3L3Machus.
Kötü adam GitHub’da ücretsiz olarak kullanılabilir. Aynı zamanda resmi Kali Linux ağ depolarının bir parçasıdır ve apt kullanılarak kurulabilir.
Okumalı:
Temel açık kaynaklı siber güvenlik araçları hakkında bilgi sahibi olmak için Net Security Reklamsız Aylık Haber Bülteni’ne abone olun. BURADA Abone Olun!