目录

• 前言
• 一、C&C（command and control）
• • 1、ICMP
  • 2、DNS
  • 3、Gmail
  • 4、DropBox
  • 5、powershell
  • 6、Windows COM
  • 7、Telegram
  • 8、Twitter
  • 9、website keyword
  • 10、WebDAV
  • 11、HTTPS
  • 12、Office 365
  • 13、kernel
  • 14、Website
  • 15、WebSocket
  • 16、Images
  • 17、Web Interface
  • 18、WMI
  • 19、JavaScript
• 二、Fronting
• • 1、Domain Fronting
  • 2、Domain Borrowing
  • 3、Tor Fronting
• 结语

前言

学习并小结下各种隐匿通道方法

一、C&C（command and control）

1、ICMP

防火墙可以阻止反向和绑定 TCP 连接。
然而，大多数时候 ICMP 流量是允许的，故可以将此协议用作隐蔽通道，以获取 shell 并在目标主机上远程执行命令

工具：

• icmpsh：https://github.com/bdamele/icmpsh
• PIX-C2：https://github.com/nocow4bob/PiX-C2

2、DNS

在最受限制的环境中，也应允许 DNS 流量解析内部或外部域
这可以用作目标主机和命令和控制服务器之间的通信通道，命令和数据包含在 DNS 查询和响应中

工具：

• dnscat2：https://github.com/iagox86/dnscat2
• dnscat2-powershell：https://github.com/lukebaggett/dnscat2-powershell

3、Gmail

Gmail 为用户和企业提供电子邮件功能,这意味着大多数组织中都允许向 Gmail 服务器发送流量
可以使用 Gmail 作为命令和控制服务器：定期向 Gmail 收件箱发送信标，并检查是否有任何带有活动 ID 的新邮件。如果有，这些电子邮件中包含的命令将在受感染主机上执行，当收到新响应时，此信息将传递到控制台

工具：

• gcat：https://github.com/byt3bl33d3r/gcat
• gdog：https://github.com/maldevel/gdog

4、DropBox

许多公司将 DropBox 用作共享工具和托管数据
因此可以使用 DropBox API 在控制器和植入物之间进行通信，在内存中运行并且流量是加密

工具：

• DropboxC2C：https://github.com/0x09AL/DropboxC2C
• DBC2：https://github.com/Arno0x/DBC2

5、powershell

大多数现代 Windows 都使用 PowerShell，并且通常管理员不会限制普通用户对 PowerShell 控制台的访问

工具：

• PoshC2：https://github.com/nettitude/PoshC2

6、Windows COM

The native Windows Script Host engine可用作一种命令和控制方法

工具：

• koadic：https://github.com/zerosum0x0/koadic

7、Telegram

利用Telegram中的bots

工具：

• bt2：https://github.com/blazeinfosec/bt2

8、Twitter

类似Gmail的思路，利用Twitter进行命令与控制

工具：

• twittor：https://github.com/PaulSec/twittor

9、website keyword

在网站上查找指定的关键字，如果该关键字存在，则将执行有效负载

工具：

• Powershell-C2：https://github.com/enigma0x3/Powershell-C2

10、WebDAV

WebDAV 是用于 Web 内容创作操作的 HTTP 协议的扩展
PROPFIND 方法用于检索存储在 WebDAV 服务器中的资源的属性：包括文件名、内容长度、创建和修改日期等
可以将payload放入PROPFIND 方法

工具：

• WebDavC2：https://github.com/Arno0x/WebDavC2

11、HTTPS

大多数端点产品执行一些深度数据包检查以丢弃任何任意连接。使用支持加密的协议并使用证书固定生成的流量可以规避大多数产品

工具：

• ThunderShell：https://github.com/Mr-Un1k0d3r/ThunderShell

12、Office 365

参考如何利用Office 365的任务功能搭建Cobalt Strike C2通道

13、kernel

使用一个开源网络驱动程序 (WinDivert)，它与 ​​Windows 内核交互，以便操纵流向另一台主机的 TCP 流量
植入物可以使用被 windows 防火墙阻止或未打开的端口，以便与命令和控制服务器进行通信。需要注意的是，植入需要以管理员级别的权限执行，但而无需创建任何事件日志或建立新连接

工具：

• redsails：https://github.com/BeetleChunks/redsails

14、Website

构建一个假网站来传递流量

工具：

• trevorc2：https://github.com/trustedsec/trevorc2

15、WebSocket

某些 Web 网关不检查 WebSocket内容
可以克隆一个合法网站，该网站将托管在网络服务器（攻击者机器）中并包含恶意 websocket 代码

工具：

• WSC2：https://github.com/Arno0x/WSC2

16、Images

图片可以隐藏命令、有效载荷和脚本

工具：

• C2：https://github.com/et0x/C2
• Invoke-PSImage：https://github.com/peewpw/Invoke-PSImage

17、Web Interface

直接看工具：

• Ares：https://github.com/sweetsoftware/Ares

18、WMI

Windows Management Instrumentation (WMI) 是一项 Microsoft 技术，旨在允许管理员通过网络执行本地和远程管理操作。由于 WMI 是自 Windows 98 以来存在的 Windows 生态系统的一部分，因此它几乎可以在所有网络中使用

工具：

• WmiSploit：https://github.com/secabstraction/WmiSploit
• WMIOps：https://github.com/FortyNorthSecurity/WMIOps
• WMImplant：https://github.com/FortyNorthSecurity/WMImplant

19、JavaScript

使用 JavaScript 有效载荷和 HTTP 协议在服务器和目标主机之间进行通信

工具：

• MyJSRat：https://github.com/Ridter/MyJSRat
• JSRat-Py：https://github.com/Hood3dRob1n/JSRat-Py
• JSRAT：https://github.com/aspiggy/JSRAT
• Javascript-Backdoor：https://github.com/3gstudent/Javascript-Backdoor

二、Fronting

1、Domain Fronting

参见：一文搞明白域前置（Domain Fronting）技术

2、Domain Borrowing

参见：一文搞明白 Domain Borrowing

3、Tor Fronting

参见：隐匿的攻击之-Tor Fronting

结语

对隐匿攻击方法做了个小结