Bir önceki makalede, size çeşitli C2 seanslarını nasıl alacağınızı göstermiştim. Bu makalede, size bir C2 oturumu elde etmenin başka bir yöntemini, yani bir C2 oturumu oluşturmak için ICMP'yi kullanarak tanıtacağım. Resmi olarak başlamadan önce, öncelikle kısaca ICMP'nin ne olduğunu anlayalım. ICMP, (İnternet Kontrol Mesajı Protokolü) İnternet Kontrol Mesajı Protokolüdür. İnternete bağlı cihazların, veri paketlerini iletirken sorunlarla karşılaştıklarında hata mesajlarını kaynak IP adresine geri göndermelerine izin verir. Bu protokol çok pratiktir, ancak saldırganlar için kullanımı bundan daha fazlasıdır.
Oturumumuzu kurmak için önce birkaç dosya indirmemiz gerekiyor. İlk dosya saldırgan üzerinde çalışacaktır. Buradan indirebilirsiniz: https://github.com/inquisb/icmpsh. Dosyayı Kali makinemde klonladım. İkinci dosya, kurban makinede çalıştıracağımız bir PowerShell betiğidir. Buradan indirebilirsiniz: https://github.com/samratashok/nishang/blob/master/Shells/Invoke-PowerShellIcmp.ps1.
Saldırgan örneğimde icmpsh'yi klonladım.
Dinleyicimi başlatmak için bir python betiği çalıştırdım.
Aşağıda gösterildiği gibi, komut dosyasını çalıştırmak için kaynak ve hedef IP adreslerini sağlamanız gerekir.
Gördüğünüz gibi hiçbir şey olmadı, çünkü istemcinin ilgili ayarlarını yapmadık. GitHub sitesine gidin ve kaynak kodunu kaydedin.
PowerShell kodunu aldıktan sonra, kurban makineye aktarmamız gerekiyor. Birçok aktarım yöntemi var, bu yüzden burada ayrıntılı olarak anlatmayacağım. Bu sadece bir test, bu yüzden dosyayı doğrudan kopyaladım.
Artık betik hazır olduğuna göre, betiği çalıştıralım. Bu bir PowerShell betiğidir, bu yüzden bir PowerShell komut istemi açmamız gerekir.
PowerShell komut istemini açtıktan sonra betiği çalıştıralım. Dosyayı yerleştirdiğiniz konuma gidin ve aşağıdaki komutu çalıştırın.
Betiği başarıyla çalıştırdıktan sonra, kali'mde bir oturum bağlantısı kurdum. aşağıdaki gibi:
Artık kurban makinesindeymişim gibi herhangi bir komutu çalıştırabilirim.
Peki, C2 oturumlarını kurmak için ICMP kullanmanın faydaları nelerdir? Tüm iletişimler, istekler ve yanıtlar dahil olmak üzere ICMP paketlerine enjekte edilir. Tüm trafik ICMP paketlerinde olduğundan, proxy tabanlı güvenlik duvarları bu trafiği algılayamaz. Ancak bu, bu bağlantıların algılanamayacağı anlamına gelmez, ancak belirli güvenlik duvarı kurallarının atlanabileceği anlamına gelir.
* Referans kaynağı: blackhillsinfosec, FB editör sekisti tarafından derlenmiştir, lütfen FreeBuf.COM'dan geldiğini belirtin