C2基础建设 - Azure中继

  • A+
所属分类:安全文章


        AzureC2Relay是一个Azure功能,通过基于Cobalt Strike Malleable C2配置文件验证传入的请求来验证和中继Cobalt Strike信标流量。任何不共享配置文件用户代理,URI路径,标头和查询参数的传入请求都将被重定向到可配置的诱饵网站。验证后的C2流量将中继到同一虚拟网络中的团队服务器,该服务器进一步受到网络安全组的限制。允许VM仅公开SSH。


C2基础建设 - Azure中继


部署

        AzureC2Relay是通过terraform azure模块以及一些本地az cli命令部署的

确保已安装terraform,az cli和dotnet core 3.1


Windows(Powershell)


&([scriptblock]::Create((Invoke-WebRequest -UseBasicParsing 'https://dot.net/v1/dotnet-install.ps1'))) -runtime dotnet -version 3.1.0Invoke-WebRequest 'https://releases.hashicorp.com/terraform/0.14.6/terraform_0.14.6_windows_amd64.zip'  -OutFile 'terraform.zip'Expand-Archive -Path terraform.zip -DestinationPath "$([Environment]::GetFolderPath('ApplicationData'))TerraForm"setx PATH "%PATH%;$([Environment]::GetFolderPath('ApplicationData'))TerraForm"Invoke-WebRequest -Uri https://aka.ms/installazurecliwindows -OutFile .AzureCLI.msi; Start-Process msiexec.exe -Wait -ArgumentList '/I AzureCLI.msi /quiet'; rm .AzureCLI.msi


Mac


curl -L https://dot.net/v1/dotnet-install.sh | bash -s --  --runtime dotnet --version 3.1.0brew update brew tap hashicorp/tapbrew install hashicorp/tap/terraformbrew install azure-cli


Ubuntu , Debian


curl -L https://dot.net/v1/dotnet-install.sh | bash -s --  --runtime dotnet --version 3.1.0wget https://releases.hashicorp.com/terraform/0.14.5/terraform_0.14.5_linux_amd64.zipunzip terraform_0.14.5_linux_amd64.zipsudo cp terraform /usr/local/bin/terraformcurl -sL https://aka.ms/InstallAzureCLIDeb | sudo bash


Kali


curl -L https://dot.net/v1/dotnet-install.sh | bash -s --  --runtime dotnet --version 3.1.0wget https://releases.hashicorp.com/terraform/0.14.5/terraform_0.14.5_linux_amd64.zipunzip terraform_0.14.5_linux_amd64.zipsudo cp terraform /usr/local/bin/terraformecho "deb [arch=amd64] https://packages.microsoft.com/repos/azure-cli/ stretch main" | sudo tee /etc/apt/sources.list.d/azure-cli.listcurl -L https://packages.microsoft.com/keys/microsoft.asc | sudo apt-key add -sudo apt-get update && sudo apt-get install apt-transport-https azure-cli





  1. 修改其中定义的第一个变量config.tf以适合您的需求

  2. 将虚拟的“ cobaltstrike-dist.tgz”替换为实际的cobaltstrike下载

  3. 编辑/替换Ressources文件夹中的Malleable配置文件(确保配置文件文件名与您在步骤1中设置的变量匹配)

  4. login with azure az login

  5. run terraform init

  6. run terraform apply -auto-approve以部署基础设施

  7. 等待CDN启动!

terraform完成后,它将为您提供所需的ssh命令,CobaltStrike团队服务器将在已部署的VM上的tmux会话中运行使用完红外线后,您可以使用 terraform destroy -auto-approve

项目地址:


https://github.com/Flangvik/AzureC2Relay

本文始发于微信公众号(Khan安全攻防实验室):C2基础建设 - Azure中继

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: