PowerShell でリバース Socks5 プロキシを作成する。パート 1

3部構成の研究開発の物語。 パート 1 は探索的なものです。
ブナの木がたくさんあり、さらにメリットがあります。

問題の定式化

侵入テストおよび RedTeam キャンペーン中は、VPN、RDP、Citrix などのお客様の標準ツールを使用できるとは限りません。 内部ネットワークに入るアンカーとして。 いくつかの場所では、標準 VPN は MFA を使用して機能し、ハードウェア トークンが XNUMX 番目の要素として使用されます。また、他の場所では、VPN は徹底的に監視され、必要なすべての機能が備わっているため、VPN ログインがすぐに可視化されます。そのような手段はありません。

このような場合、いわゆる「逆トンネル」、つまり内部ネットワークから外部リソースまたは当社が制御するサーバーへの接続を常に作成する必要があります。 このようなトンネル内では、すでにお客様の内部リソースと連携できます。

これらの戻りトンネルにはいくつかの種類があります。 その中で最も有名なのは、もちろん、Meterpreter です。 リバース ポート転送を備えた SSH トンネルもハッカーの間で大きな需要があります。 リバース トンネリングを実装する手段は非常に多くあり、その多くはよく研究され説明されています。
もちろん、セキュリティ ソリューションの開発者は、そのようなアクションを傍観して積極的に検出するわけではありません。
たとえば、MSF セッションは Cisco または Positive Tech の最新の IPS によって正常に検出され、リバース SSH トンネルはほぼすべての通常のファイアウォールによって検出できます。

したがって、優れた RedTeam キャンペーンで気づかれないようにするには、非標準的な手段を使用してリバース トンネルを構築し、ネットワークの実際の動作モードに可能な限り厳密に適応する必要があります。

同様のものを見つけたり発明したりしてみましょう。

何かを発明する前に、どのような結果を達成したいのか、開発でどのような機能を実行する必要があるのか​​を理解する必要があります。 最大限のステルス モードで動作できるようにするためのトンネルの要件は何ですか?

それぞれのケースでそのような要件が大きく異なる可能性があることは明らかですが、職務経験に基づいて、主な要件を特定できます。

• Windows-7-10 OSで動作します。 ほとんどの企業ネットワークは Windows を使用しているため、
• クライアントは、ips を使用した愚かなリスニングを避けるために SSL 経由でサーバーに接続します。
• 接続するとき、クライアントは承認のあるプロキシ サーバーを介した作業をサポートする必要があります。 多くの企業では、インターネットへのアクセスはプロキシ経由で行われます。 実際、クライアント マシンはそれについて何も知らない可能性があり、プロキシは透過モードで使用されます。 しかし、そのような機能を提供する必要があります。
• クライアント部分は簡潔で移植可能である必要があります。
  顧客のネットワーク内で動作するには、クライアント マシンに OpenVPN をインストールし、サーバーへの本格的なトンネルを作成できることは明らかです (幸いなことに、openVPN クライアントはプロキシ経由で動作できます)。 しかし、第一に、私たちがローカル管理者ではない可能性があるため、これは常に機能するとは限りません。第二に、まともな SIEM や HIPS がすぐに私たちを「密告」するほど大きなノイズが発生します。 理想的には、クライアントはいわゆるインライン コマンドである必要があります。たとえば、多くの bash シェルが実装されており、たとえば Word マクロからコマンドを実行するときにコマンド ライン経由で起動されるためです。
• トンネルはマルチスレッドであり、多くの接続を同時にサポートする必要があります。
• クライアントとサーバーの接続には、指定されたアドレスとポートでサーバーにアクセスするすべてのユーザーではなく、クライアントに対してのみトンネルが確立されるように、何らかの承認が必要です。 理想的には、猫や元のドメインに関連する専門的なトピックを含むランディング ページが「サードパーティ ユーザー」向けに開かれる必要があります。
  たとえば、顧客が医療機関の場合、診療所の従業員がアクセスしたリソース、医薬品のページ、診断の説明が記載されたウィキペディア、コマロフスキー博士のブログなどをチェックすることを決定した情報セキュリティ管理者にとっては、 . が開くはずです。

既存ツールの分析

自分の自転車を再発明する前に、既存の自転車を分析して、それが本当に必要かどうかを理解する必要があります。おそらく、そのような機能的な自転車の必要性について考えたことがあるのは私たちだけではありません。

インターネットでグーグル（私たちは普通にグーグルをしているようです）で検索したり、Githubで「逆ソックス」というキーワードを使用して検索したりしても、あまり結果が得られませんでした。 基本的には、リバース ポート転送とそれに接続されるすべてのものを備えた ssh トンネルを構築することになります。 SSH トンネルに加えて、いくつかのソリューションがあります。

github.com/klsecservices/rpivot
Kaspersky Lab のスタッフによる長年にわたるリバース トンネルの実装。 名前によって、このスクリプトの目的が明確になります。 Python 2.7 で実装されたトンネルはクリアテキスト モードで動作します (今では流行っているように、こんにちは RKN)

github.com/tonyseek/rsocks
Python での別の実装もクリアテキストで行われますが、より多くの可能性があります。 これはモジュールとして記述されており、ソリューションをプロジェクトに統合するための API を備えています。

github.com/llkat/rsockstun
github.com/mis-team/rsockstun
最初のリンクは、Golang でのリバース sox 実装のオリジナル バージョンです (開発者によってサポートされていません)。
XNUMX 番目のリンクは、同じく Golang での追加機能を備えたリビジョンです。 私たちのバージョンでは、SSL を実装し、NTLM 認証によるプロキシを介した作業、クライアントでの認証、パスワードが間違っている場合のランディング ページ (またはランディング ページへのリダイレクト)、マルチスレッド モード (つまり、複数人)同時にトンネルを操作できます)、クライアントに ping を送信して、クライアントが生きているかどうかを判断するシステムです。

github.com/jun7th/tsocks
「中国人の友人」からのリバースソックスをPythonで実装。 そこには、怠け者で「不滅」の人のために、中国人によって組み立てられ、すぐに使用できる既製のバイナリ (exe) があります。 ここで、このバイナリに主要な機能以外に何が含まれるかは中国の神のみぞ知るので、ご自身の責任で使用してください。

github.com/securesocketfunneling/ssf
リバースソックスなどを実装するための C++ の非常に興味深いプロジェクトです。 リバース トンネルに加えて、ポート フォワーディングを実行したり、コマンド シェルを作成したりすることもできます。

MSFの検針員
彼らが言うように、ここではコメントはありません。 多かれ少なかれ教育を受けたハッカーは皆、この問題に精通しており、セキュリティ ツールによってそれがいかに簡単に検出されるかを理解しています。

上記で説明したツールはすべて、同様のテクノロジーを使用して機能します。つまり、事前に準備された実行可能バイナリ モジュールがネットワーク内のマシン上で起動され、外部サーバーとの接続が確立されます。 サーバーは、接続を受け入れてクライアントに中継する SOCKS4/5 サーバーを実行します。

上記のすべてのツールの欠点は、Python または Golang のいずれかをクライアント マシンにインストールする必要があることです (たとえば、会社の取締役や事務員のマシンに Python がインストールされているのをよく見たことがありますか?)。バイナリ (実際には Python) をこのマシンにドラッグし、スクリプトを XNUMX つのボトルに入れる必要があります)、すでにそこにあるこのバイナリを実行します。 また、exe をダウンロードして起動することは、ローカルのウイルス対策プログラムまたは HIPS の署名でもあります。

一般に、結論はそれ自体が示唆しています - PowerShell ソリューションが必要です。 今、トマトが私たちに向かって飛んでくるでしょう - PowerShell はすでにすべて陳腐化されており、監視され、ブロックされていると言われています。 等々。 実際、どこにでもあるわけではありません。 私たちは責任を持って宣言します。 ちなみに、ブロッキングを回避する方法はたくさんあります (ここでも、こんにちは RKN についての流行のフレーズが出てきます 🙂)。powershell.exe -> cmdd.exe という愚かな名前変更から始まり、powerdll で終わるなどです。

発明を始めましょう

まず Google で調べてみると…このトピックに関するものは何も見つかりません (誰かが見つけたら、コメントにリンクを投稿してください)。 あるのはただ 実装 PowerShell の Socks5 ですが、これは通常の「直接」ソックスであり、独自の欠点がいくつかあります (後で説明します)。 もちろん、手を少し動かすだけで、それを逆のソックスに変えることもできますが、これはシングルスレッドソックスのみであり、私たちが必要とするものとはまったく異なります。

つまり、既製のものは何も見つかっていないため、引き続き車輪を再発明する必要があります。 私たちの自転車のベースとなります 私たちの発展 Golang で reverse sox を作成し、PowerShell でそのクライアントを実装します。

RSソックスタン
それでは、rsockstun はどのように機能するのでしょうか?

RsocksTun (以下、rs) の動作は、Yamux と Socks5 サーバーという 5 つのソフトウェア コンポーネントに基づいています。 Socks5 サーバーは通常のローカルの SocksXNUMX であり、クライアント上で実行されます。 そして、それへの接続の多重化 (マルチスレッドについて覚えていますか?) は yamux を使用して提供されます (さらに別のマルチプレクサ）。 このスキームを使用すると、複数のクライアント Socks5 サーバーを起動し、それらに外部接続を分散し、単一の TCP 接続 (メータープリッターとほぼ同様) を介してクライアントからサーバーに転送することができ、それによってマルチスレッド モードを実装できます。内部ネットワークで完全に動作できるようになります。

yamux の仕組みの本質は、ストリームの追加ネットワーク層を導入し、それを各パケットの 12 バイトのヘッダーの形式で実装することです。 (読者をプログラム ストリームの「スレッド」と混同しないように、ここではスレッドではなく「ストリーム」という言葉を意図的に使用します。この記事でもこの概念を使用します)。 yamux ヘッダーには、ストリーム番号、ストリームのインストール/終了用のフラグ、転送バイト数、および転送ウィンドウのサイズが含まれます。

yamux は、ストリームのインストール/終了に加えて、確立された通信チャネルのパフォーマンスを監視できるキープアライブ メカニズムを実装します。 keeplive メッセージ メカニズムの動作は、Yamux セッションの作成時に構成されます。 実際には、設定のうちパラメータは有効/無効とパケット送信頻度 (秒単位) の XNUMX つだけです。 キープアライブ メッセージは、yamux サーバーまたは yamux クライアントから送信できます。 キープアライブ メッセージを受信した場合、リモート側は受信したものとまったく同じメッセージ ID (実際には番号) を送信して応答する必要があります。 一般に、キープアライブは yamux の場合のみ同じ ping です。

マルチプレクサの全体的な動作技術 (パケット タイプ、接続セットアップと終了フラグ、データ転送メカニズム) については、次のセクションで詳しく説明されています。 仕様書 ヤマックスへ。

最初の部分の結論

そのため、記事の最初の部分では、リバース トンネルを構成するためのいくつかのツールについて説明し、その利点と欠点を確認し、Yamux マルチプレクサーの動作メカニズムを研究し、新しく作成された PowerShell モジュールの基本要件について説明しました。 次のパートでは、モジュール自体を実質的にゼロから開発します。 つづく。 切り替えないでください:)

出所： habr.com