不论昨天如何,都希望新的一天里,我们大家都能成为更好的人,也希望我们都是走向幸福的那些人
我们在Red Siege很自豪地介绍GraphStrike:这是一套用于Cobalt Strike的工具套件,使Beacons能够使用Microsoft Graph API进行HTTPS C2通信。所有流量将通过graph.microsoft.com路由,并且由于Beacon与Microsoft Cloud资源进行交互,因此变得非常难以识别。
在攻击性安全领域,当提到逃避时,通常是在反病毒(AV)或终端检测和响应(EDR)的背景下。对于大多数攻击者来说,设计恶意软件或其他工具时,主机检测仍然是主要关注点,但组织越来越多地通过成熟的基于网络的检测能力来补充其安全堆栈。网络逃避并不是一个新概念,命令和控制(C2)软件Cobalt Strike在2014年添加了自定义其网络流量外观的功能。然而,在这些年里,基于网络的监测和检测机制的能力和准确性已经取得了进展,现在在进攻性行动中面临着真正的挑战。
高级持续性威胁(APTs)和其他现实世界的威胁行为者也已经注意到,他们越来越多地转向像Slack、Discord、Google Drive和Telegram等商业第三方服务,以便在不被发现的情况下将他们的C2流量从受感染的网络中走出去。对于C2目的来说,合法服务非常具有吸引力,攻击者可以滥用它们的声誉来融入并避免审查。虽然选择多种多样,但由于诸如Microsoft Teams、Outlook和OneDrive等程序的使用非常普遍,因此Microsoft服务尤其具有吸引力。为了使事情更加简单,所有这些服务都可以通过Microsoft Graph API访问和操作。
Microsoft Graph是一个RESTful Web API,使您能够访问Microsoft云服务资源。过去几年观察到高级持续性威胁(APTs)部署恶意软件,使用Graph API进行C2的活动。例如:
BLUELIGHT - APT37/InkySquid/ScarCruftGraphite - APT28/Fancy BearGraphican - APT15/Nickel/The FleaSiestaGraph - UNKNOWN
针对Microsoft拥有的域名和IP的网络流量极不可能引起注意,很难区分网络内Graph API的合法使用与非法使用。作为攻击性安全专业人员,我们致力于对手仿真,但是实施第三方服务进行C2可能具有挑战性,无论是从技术角度还是时间和资源方面。为了解决这些挑战,使授权的红队能够轻松地带来先进的对手技术,Red Siege很高兴地宣布推出GraphStrike。
GraphStrike是一套与Cobalt Strike一起使用的工具套件,使Beacons可以使用Graph API进行HTTPS C2通信。它包括一个提供程序,可以轻松设置所需的资产,包括在本地和Azure中,唯一的实际先决条件是具有SharePoint站点的Microsoft租户:
![利用Microsoft Graph API实现CS流量伪装]( "利用Microsoft Graph API实现CS流量伪装")
完成设置并导入单个Cobalt Strike脚本后,由Cobalt Strike团队服务器生成的Beacons将所有C2流量发送到graph.microsoft.com。以下是一个Wireshark捕获的示例(您需要放大):
![利用Microsoft Graph API实现CS流量伪装]( "利用Microsoft Graph API实现CS流量伪装")
这是一个Wireshark捕获的示例,显示了对graph.microsoft.com的DNS请求以及包含相应IP的响应,然后,将建立到该IP的HTTPS连接。使用Process Explorer,我们可以看到GraphStrike.exe进程已经启动并保持了此连接。在图像的左下角,来自Cobalt Strike的屏幕截图显示了来自GraphStrike.exe进程的Beacon呼叫,并确认Wireshark中看到的连接属于植入程序。
GraphStrike支持几乎所有原生Cobalt Strike功能,并旨在使Graph API用于授权的红队参与简单、可靠和有效。
参考及来源:
https://redsiege.com/blog/2024/01/graphstrike-release/
点击关注下方名片进入公众号
回复关键字【240327】获取下载链接
安全小白团是帮助用户了解信息安全技术、安全漏洞相关信息的微信公众号。安全小白团提供的程序(方法)可能带有攻击性,仅供安全研究与教学之用,用户将其信息做其他用途,由用户承担全部法律及连带责任,安全小白团不承担任何法律及连带责任。欢迎大家转载,转载请注明出处。如有侵权烦请告知,我们会立即删除并致歉。谢谢!
原文始发于微信公众号(安全小白团):利用Microsoft Graph API实现CS流量伪装
评论