(1) 远程抗沙箱
后门启动首先处于 "待定" 阶段,用户可远程查看沙箱检测数据,进而远程决定后门是否进入 "正式上线" 阶段。确定进入 "正式上线" 阶段后,服务端会向后门发送核心 ShellCode 密钥,进而解密加载。
规避优势:即使传输与沙箱检测无关的数据,也可以利用时长绕过部分沙箱检测。因为是人工判定,所以沙箱检测数据可以比常规方式更灵活,比如图中获取的就是某盘下的文件目录。核心 ShellCode 密钥由服务端发送,在病毒分析中无法通过简单的方式跳过抗沙箱阶段得到 ShellCode 明文。
(2) 隐蔽的 ShellCode 调用接口
本项目结合了 No_X_Memory_ShellCode_Loader 技术:
https://github.com/HackerCalico/No_X_Memory_ShellCode_Loader
上文中的核心 ShellCode,其实就是 "自定义汇编解释器" 的 ShellCode。后门进入 "正式上线" 阶段后的所有非通信功能均通过解释器运行:客户端将功能 ShellCode 转为自定义汇编指令 ------> 服务端。服务端 ------> 后门通过解释器运行功能。
规避优势:向后门注入任何新功能无需进行任何内存属性 (R/W/X) 修改操作。内存中任何时候都不会出现新功能的 ShellCode 机器码。
(3) 未授权访问通知
服务端在遇到无效的凭证或请求数据时,只会响应空白 / 404,并向所有客户端通知未授权访问行为。
(4) 文件分块传输
文件上传下载均采用分块传输,支持随时暂停与修改块的大小。
(5) 二次开发
项目完全开源,代码简洁,未使用高级语法,插件均为 Python,易于二次开发。
原文始发于微信公众号(Web安全工具库):红队C2框架 -- Magic_C2(7月18日更新)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论