Google Calendar RAT 是基于 Google Calendar Events 的 Command&Control (C2) 的 PoC,该工具是为那些难以创建完整的红队基础设施的情况而开发的。要使用 GRC,只需要一个 Gmail 帐户。该脚本通过利用谷歌日历中的事件描述创建一个“隐蔽频道”。目标将直接连接到谷歌,它可以被视为第 7 层应用程序隐蔽通道。
GCR 尝试连接到有效的共享 Google 日历链接,并在为任何尚未执行的命令生成唯一 ID 检查之后。如果找不到任何命令,它会创建一个新命令(固定为“whoami”)作为连接证明。每个事件由两部分组成:
包含唯一 ID 的标题,这意味着您可以安排多个命令创建具有与名称相同的唯一 ID 的事件
其中包含要执行的命令和使用管道符号作为分隔符“|”的 base64 编码输出
攻击流程
唯一建立的连接将是谷歌的服务器,使连接看起来完全合法。
设置谷歌服务账号并获取credentials.json文件,将文件放在脚本同级目录下
创建新的 Google 日历并与新创建的服务帐户共享
编辑脚本以指向您的日历地址
一旦在目标机器上执行,就会自动创建一个具有唯一目标 ID 的事件,并自动执行“whoami”命令
在通信的事件描述中使用以下语法 => CLEAR_COMMAND|BASE64_OUTPUT
例子:
"whoami|"
"net users|"
日期固定在 2023 年 5 月 30 日。您可以使用唯一 ID 作为事件名称来创建无限事件。
https://github.com/MrSaighnal/GCR-Google-Calendar-RAT
原文始发于微信公众号(Khan安全攻防实验室):神兵利器 - Google C2
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论