神兵利器 - Google C2

admin 2023年6月26日02:15:51评论78 views字数 718阅读2分23秒阅读模式

神兵利器 - Google C2

        Google Calendar RAT 是基于 Google Calendar Events 的 Command&Control (C2) 的 PoC,该工具是为那些难以创建完整的红队基础设施的情况而开发的。要使用 GRC,只需要一个 Gmail 帐户。该脚本通过利用谷歌日历中的事件描述创建一个“隐蔽频道”。目标将直接连接到谷歌,它可以被视为第 7 层应用程序隐蔽通道。

神兵利器 - Google C2

        GCR 尝试连接到有效的共享 Google 日历链接,并在为任何尚未执行的命令生成唯一 ID 检查之后。如果找不到任何命令,它会创建一个新命令(固定为“whoami”)作为连接证明。每个事件由两部分组成:

        包含唯一 ID 的标题,这意味着您可以安排多个命令创建具有与名称相同的唯一 ID 的事件

神兵利器 - Google C2

其中包含要执行的命令和使用管道符号作为分隔符“|”的 base64 编码输出

神兵利器 - Google C2

攻击流程

神兵利器 - Google C2

唯一建立的连接将是谷歌的服务器,使连接看起来完全合法。

神兵利器 - Google C2

神兵利器 - Google C2

设置谷歌服务账号并获取credentials.json文件,将文件放在脚本同级目录下

创建新的 Google 日历并与新创建的服务帐户共享

编辑脚本以指向您的日历地址

一旦在目标机器上执行,就会自动创建一个具有唯一目标 ID 的事件,并自动执行“whoami”命令

在通信的事件描述中使用以下语法 => CLEAR_COMMAND|BASE64_OUTPUT

例子:

"whoami|"

"net users|"

日期固定在 2023 年 5 月 30 日。您可以使用唯一 ID 作为事件名称来创建无限事件。


 

https://github.com/MrSaighnal/GCR-Google-Calendar-RAT

原文始发于微信公众号(Khan安全攻防实验室):神兵利器 - Google C2

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年6月26日02:15:51
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   神兵利器 - Google C2https://cn-sec.com/archives/1830099.html

发表评论

匿名网友 填写信息