关于RedWarden
RedWarden是一款功能强大的Cobalt Strike C2反向代理,可以帮助广大研究人员通过数据包审查和CobaltStrike的Malleable配置关联分析实现针对蓝队、反病毒产品、终端安全响应系统(EDR)以及扫描器的抵御和对抗。
红队研究人员一直都在研究如何对抗事件响应工具的误导,尤其是涉及到C2重定向网络的时候。那么RedWarden将这些想法整合到了一个轻量级实用程序中,并能够模仿Apache2作为简单HTTP(s)反向代理。
RedWarden运行机制
工具概述
RedWarden可以充当HTTP/HTTPS反向代理,并对入站C2 HTTP请求施加若干限制,选择将哪些数据包定向到Teamserver以及需要丢弃哪些数据包,类似于Apache2的mod_rewrite中强制执行的.htaccess文件限制。
RedWarden的创建是为了解决C2重定向器层上的IR/AV/EDRs/沙盒规避问题,它的目的是取代经典的Apache2+mod_rewrite设置。
根据以下三种策略,无效数据包可能会被错误路由:
-
重定向:将节点重定向至其他网站;
-
重置:直接中断TCP连接;
-
代理:从其他网站获取响应,尽可能模仿被克隆/劫持的网站。
工具要求
该程序的当前版本仅支持在Linux系统上运行,并且支持多进程执行。
需要安装openssl系统命令,用于生成SSL证书。
最后,使用Python3 的pip命令安装所需的依赖组件:
bash $ sudo pip3 install -r requirements.txt
项目地址
RedWarden:
https://github.com/mgeeky/RedWarden
本文始发于微信公众号(盾山实验室):RedWarden:Cobalt Strike C2反向代理
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论