红队C2框架 Magic_C2

admin 2024年7月19日08:29:25评论48 views字数 797阅读2分39秒阅读模式
0x01 工具介绍

红队C2框架  Magic_C2

0x02 安装与使用

(1) 远程抗沙箱

后门启动首先处于 "待定" 阶段,用户可远程查看沙箱检测数据,进而远程决定后门是否进入 "正式上线" 阶段。确定进入 "正式上线" 阶段后,服务端会向后门发送核心 ShellCode 密钥,进而解密加载。

红队C2框架  Magic_C2

规避优势:即使传输与沙箱检测无关的数据,也可以利用时长绕过部分沙箱检测。因为是人工判定,所以沙箱检测数据可以比常规方式更灵活,比如图中获取的就是某盘下的文件目录。核心 ShellCode 密钥由服务端发送,在病毒分析中无法通过简单的方式跳过抗沙箱阶段得到 ShellCode 明文。

(2) 隐蔽的 ShellCode 调用接口

本项目结合了 No_X_Memory_ShellCode_Loader 技术:

https://github.com/HackerCalico/No_X_Memory_ShellCode_Loader

上文中的核心 ShellCode,其实就是 "自定义汇编解释器" 的 ShellCode。后门进入 "正式上线" 阶段后的所有非通信功能均通过解释器运行:客户端将功能 ShellCode 转为自定义汇编指令 ------> 服务端。服务端 ------> 后门通过解释器运行功能。

规避优势:向后门注入任何新功能无需进行任何内存属性 (R/W/X) 修改操作。内存中任何时候都不会出现新功能的 ShellCode 机器码。

(3) 未授权访问通知

服务端在遇到无效的凭证或请求数据时,只会响应空白 / 404,并向所有客户端通知未授权访问行为。

红队C2框架  Magic_C2

(4) 文件分块传输

文件上传下载均采用分块传输,支持随时暂停与修改块的大小。

红队C2框架  Magic_C2

(5) 二次开发

项目完全开源,代码简洁,未使用高级语法,插件均为 Python,易于二次开发

0x03 下载
https://github.com/HackerCalico/Magic_C2

原文始发于微信公众号(Web安全工具库):红队C2框架 -- Magic_C2(7月18日更新)

 

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月19日08:29:25
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   红队C2框架 Magic_C2https://cn-sec.com/archives/2972443.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息