tgoop.com/hackproglib/4081
Create:
Last Update:
Last Update:
Цель:
Построить такую C2-инфраструктуру, которая:
• не палится в SIEM и EDR;
• не светит IOC и сигнатуры;
• живёт автономно, маскируется под легитимный трафик;
• не вызывает головную боль у Red Team, но вызывает у Blue.
• Используйте VPS с кастомным ядром или альтернативные хостинги, избегая крупных облачных провайдеров (AWS, Azure, GCP). Это снижает вероятность обнаружения и блокировки.
• Разворачивайте C2 через HTTPS, используя CDN-сервисы (например, Cloudflare Workers или Fastly) для маскировки трафика.
• Применяйте домены, имитирующие популярные SaaS-платформы, такие как slackcdn-storage[.]com или zoom-updates[.]net.
• Скрывайте C2-трафик за Cloudflare с TLS passthrough и мимикрией JA3-фингерпринтов для обхода систем обнаружения.
• Sliver даёт нам гибкость: поддержка mTLS, DNS, WireGuard, встроенная обфускация, генерация payload под AV-базу.
• Havoc — это модульность, шифрованные каналы (HTTPS, SMB), кастомные агенты и гибкость взаимодействия.
• Используйте DNS-туннелинг (особенно полезен в закрытых корпоративных сетях).
• Либо работайте через WebSocket, замаскированный под обычный HTTPS — SOC редко мониторит содержимое WebSocket-каналов.
• Используйте легитимные системные утилиты, такие как msbuild, regsvr32, rundll32, certutil, для выполнения вредоносных действий без загрузки дополнительных файлов.
🛑 Вот чего мы никогда не делаем:
• Не запускаем Cobalt Strike «из коробки» — сигнатуры уже у каждого EDR, включая open-source ловушки.
• Не шлём трафик без маскировки — JA3, TLS fingerprinting, HTTP заголовки — всё это давно используется в корреляции.
• Не реюзаем один payload на всех машинах — одно совпадение в логах, и аналитик SOC бьёт тревогу.
#буст
