Listado de frameworks de post-explotación/C2 de código abierto

Recientemente @xorrior, uno de los desarrolladores de Empire, anunciaba que no se iba a seguir dando soporte/actualizando su famoso framework de post-explotación. Pero tranquilos... estoy seguro que este maravilloso proyecto no morirá. Sirva de ejemplo que nuestro compi Luis Vacas, ayudado y animado por la Comunidad y los locos de Likor aka nos encargaremos de darle la coña, pronto actualizará e irá añadiendo funcionalidades nuevas al mod que tenemos en el github de Hackplayers (que además esperamos ver en directo en la conferencia h-c0n de 2020 ;-) ).

Mientras tanto y a propósito del anuncio de Empire, leía un post en PentestIT donde recopilaban una lista muy interesante con un montón de frameworks C2 de código abierto que pueden servir de alternativa. Muchos de ellos ya los hemos probado y escrito sobre ellos en el blog, otros simplemente tienen tan buena pinta que se hace imperativo probarlos. Os dejo la lista con dos o tres C2 más que conocía:

1. APfell: es un framework C2 multiplataforma, hecho con python3, docker, docker-compose y una interfaz de usuario nweb. Incluye soporte para múltiples perfiles C2, múltiples tipos de payload incluyendo una interesante extensión para Chrome y JavaScript para Automatización (JXA) en Mac OS. Y además mapea con MITRE ATT&CK. Curiosamente, este framework se inspira en familias de malware conocidas como PlugX, Flame, etc.

2. Aura Botnet: un framework orientado a botnets muy portable con un servidor C2 basado en Django. El cliente está escrito en C++, con clientes alternativos escritos en Rust, Bash y Powershell.

3. Covenant: lo que lo diferencia sobretodo este framework del resto es que admite .NET Core, que es multiplataforma. Por lo tanto, Covenant puede ejecutarse de forma nativa en plataformas Linux, MacOS y Windows. Además, Covenant tiene soporte para Docker, lo que le permite ejecutarse dentro de un contenedor en cualquier sistema que tenga instalado Docker. Consta de tres componentes: Covenant (componente del lado del servidor), Elite (componente del lado del cliente) y Grunt (implante).

4. Faction C2: Se centra en proporcionar una plataforma fácil, estable y accesible para las comunicaciones C2 a través de las API REST y Socket.IO. Podemos usar Marauder, un agente de .NET de ejemplo para Faction C2 Framework pero también podemos crear fácilmente nuestro propio agente. Además este framework tiene un sistema de control de acceso basado en roles y los datos pueden consultarse usando consultas SQL.

5. FudgeC2: es un framework C2 con una parte web en Python3/Flask y un implante en Powershell diseñado para facilitar las actividades de un purple team, la revisión posterior a una campaña y el timelining. El implante de Fudges también admite diferentes niveles y tipos de ofuscación para permitir que se realicen diferentes niveles de ruido durante el compromiso para ayudar a un SoC a comparar sus habilidades de detección.

6. iBombshell: se trata de la "shell" de post-explotación que nos presentó Pablo González y Álvaro Nuñez en la última hc0n2019. Tiene como objetivo poder usarse prácticamente en cualquier equipo con Windows, gracias a que es descargada desde el repo dinámicamente. Bueno, realmente tiene dos modos de ejecución, el denominado "everywhere" con Powershell y otro adicional llamado "silently" gracias a un C2 escrito en Python.

7. Koadic: un rootkit de post-explotación de Windows similar a otras herramientas de pentesting como Meterpreter, Cobalt Strike o Powershell Empire. La principal diferencia es que Koadic hace la mayoría de sus operaciones usando Windows Script Host (aka JScript/VBScript) y tiene compatibilidad para soportar desde una instalación predeterminada de Windows 2000 sin service packs (y potencialmente incluso versiones de NT4) hasta Windows 10.

8. Merlin: es una buena herramienta multiplataforma escrita en el lenguaje Go. Está formado por dos elementos, el servidor y el agente y destaca sobretodo porque funciona en el protocolo HTTP/2, un protocolo relativamente nuevo que usa cifrado Perfect Forward Secrecy (PFS) y que nos permitirá evadir sistemas que inspeccionan el tráfico.

9. Nuages: se trata de un framework de código abierto para desarrollar y administrar implantes compatibles que puedan aprovechar todos los recursos de back-end ya desarrollados. Su core es accesible a través de REST o Socket.io.

10. PoshC2: es un framework compatible con proxy que utiliza Powershell y/o equivalente (System.Management.Automation.dll) para la base del implant, ya que proporciona todas las funciones y características avanzadas sin necesidad de introducir múltiples bibliotecas de terceros. Además del implante Powershell, PoshC2 también tiene un dropper básico escrito exclusivamente en Python que puede usarse para C&C sobre sistemas basados en Unix/Linux como Mac OS o Ubuntu.

11. Sliver: es un framework de Comando y Control (C2) creado para pentesters, redteamers y APTs avanzadas. Genera implantes (slivers) que pueden ejecutarse en prácticamente todas las arquitecturas, y facilita la adminitración de las conexiones de forma segura a través de un servidor central.

Sliver admite varios protocolos de callback, incluidos DNS, TCP y HTTP(S), para simplificar la conexión de vuelta o callback, incluso cuando esos molestos blue teams bloquean los dominios. También permite tener múltiples operadores (jugadores) al mismo tiempo al mando de tu ejército de slivers.

12. SILENTTRINITY:  byt3bl33d3r, creador también del conocido proyecto CrackMapExec, creó un agente de post explotación basado en C#/.NET, Python e IronPython. Esta herramienta aprovecha todas las virtudes de .NET a través de C#, uniéndolo a una ejecución en memoria y una usabilidad al más puro estilo de Empire.

13. TrevorC2: usa un modelo cliente/servidor para enmascarar las intrucciones de C&C a través de un sitio web normalmente navegable. La detección se vuelve mucho más difícil ya que los intervalos de tiempo son diferentes y no utiliza solicitudes POST para la filtración de datos. Es compatible con Windows, MacOS y Linux.

¿Conoces más? ¡Comenta!

2 comentarios :