Covenant 是一种流行的命令和控制 (C2) 框架,安全专业人员使用它来模拟对抗性攻击场景并测试系统的安全状况。它提供了一套全面的工具来管理多个代理并在受感染的系统上执行命令。在本博客中,我们将介绍设置 Covenant、创建侦听器和启动器以及针对 VirusTotal 测试生成的有效负载的过程。我们还将介绍如何混淆有效负载以降低检测率。
1. 安装 Covenant
在深入研究 Covenant 之前,您需要设置您的环境。Covenant 是基于 .NET Core 构建的,因此您需要安装它。请按照以下步骤安装 Covenant:
安装 .NET Core SDK:您可以从Microsoft .NET
官方网站下载 .NET Core SDK 。请确保选择与您的系统兼容的版本。
克隆 Covenant 存储库:
打开您的终端并运行以下命令来克隆 Covenant 存储库:
构建 Covenant:
使用 .NET Core CLI 构建 Covenant:
2. 建立并运行盟约
安装 Covenant 后,您需要构建并运行它:
运行 Covenant:
使用以下命令启动 Covenant:
访问 Web 界面:
一旦 Covenant 运行,您就可以通过在浏览器中导航到https://localhost:7443来访问其 Web 界面。您需要绕过有关自签名证书的任何浏览器安全警告。
创建帐户:
按照屏幕上的说明创建新帐户。请记住安全存储您的凭据。
3. 创建监听器
Covenant 中的监听器用于接收来自代理的连接。创建监听器的方法如下:
导航到听众:
在 Covenant 网络界面中,转到“听众”部分。
创建新的监听器:
单击“创建监听器”并配置设置:
名称:给您的听众一个描述性的名称。
连接地址:设置侦听器可用的地址和端口。
绑定地址:定义监听器将绑定到的地址。
保存监听器:
配置完成后,保存监听器,它将开始监听传入的连接。
4. 创建启动器(PowerShell)
Covenant 中的启动器是用于与侦听器建立代理连接的脚本或可执行文件。创建 PowerShell 启动器的方法如下:
导航到启动器:
转到 Covenant 界面中的“启动器”部分。
创建新启动器:
选择“PowerShell”作为启动器类型。使用必要的选项配置启动器:
监听器:选择您之前创建的监听器。
配置文件:选择通信配置文件。
生成启动器:
配置选项后,生成 PowerShell 脚本。此脚本将用于建立与 Covenant 侦听器的连接
5. 在 VirusTotal 中测试生成的有效负载
在部署任何有效载荷之前,测试其可检测性至关重要:
上传到 VirusTotal:
转到VirusTotal并上传生成的 PowerShell 脚本。这将使用多个防病毒引擎扫描有效负载。
分析结果:
查看检测率。高检测率意味着有效载荷很可能被防病毒软件捕获。
6. 混淆原始有效负载并在 VirusTotal 中测试
为了降低检测率,你可以混淆你的有效载荷:
混淆有效负载:
使用 PowerShell 混淆工具(如B etterXencrypt)混淆您的脚本。此工具提供各种技术,使您的有效负载更难被检测到。
在VirusTotal上重新测试:
混淆后,将修改后的脚本再次上传到VirusTotal。检查检测率是否下降。
根据需要进行迭代:
如果检测率仍然很高,请尝试不同的混淆技术或工具来实现更低的检测率。
结论
Covenant 是一个功能强大的 C2 框架,可有效用于渗透测试和红队交战。按照本指南,您可以设置 Covenant、创建侦听器和启动器,并测试有效载荷的可检测性。请记住,这些技术只能在授权的安全测试环境中使用,并且必须获得相关利益相关者的完全许可。
其它相关教程
linux恶意软件开发对抗与进程安全管理视频教程(2024最新)
其它课程
linux文件系统存储与文件过滤安全开发视频教程(2024最新)
linux高级usb安全开发与源码分析视频教程
linux程序设计与安全开发
-
windows恶意软件开发与对抗视频教程
-
windows网络安全防火墙与虚拟网卡(更新完成)
-
windows文件过滤(更新完成)
-
USB过滤(更新完成)
-
游戏安全(更新中)
-
ios逆向
-
windbg
-
还有很多免费教程(限学员)
原文始发于微信公众号(安全狗的自我修养):Covenant C2 框架:分步指南
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论