将Telegram打造成C&C平台

将Telegram打造成C&C平台

2016-05-23 13:07:33
来源：360安全播报作者：Mickeyyyyy

阅读：53次
点赞(0)
收藏

分享到：

将Telegram打造成C&C平台

Blaze安全公司的安全研究专家们长久以来一直都在致力于研发新型的安全技术来提升安全防护工具的性能。正如每一位渗透测试人员所熟知的那样,如果要成功完成入侵,并对目标网络进行更进一步地渗透,那么Post-Exploitation就是其中非常关键的一个步骤。而且如果渗透测试人员需要在目标组织的网络系统中站稳脚跟,那么Post-Exploitation工具的地位就更加的明显了。

因此,我们的安全研究专家们开发出了Blaze Telegram Backdoor Tool,即bt2-Blaze Telegram后门工具。这一工具是Post-Exploitation工具的概念验证实例,它是一个后门程序,其控制网络主要由Telegram机器人所组成(Telegram是一个跨平台的实时通信软件,它是一款开源软件)。

命令和控制(在本文中简称为C&C)有着多种不同的形式,而且不同人员所研发出来的命令控制方式也有很大的不同。在此之前,当目标系统与主控制服务器之间需要建立通信链接时,早期的C&C基础设施使用的是IRC协议。而且在21世纪初,很多僵尸网络也是使用这样的设置方式来进行通信链接的建立的,因为当时IRC协议是非常流行的。

在此之前,也曾有攻击者利用热门的在线服务来对目标进行过攻击,而且在安全研究人员分析之后认为,这种情况在将来肯定还会再次发生。

基于社交网络的C&C僵尸网络已经不是一种新型概念了,至少从2009年开始,威胁检测专家们就已经在推特等大型社交平台中发现并记录下了这种恶意后门。

bt2是一个采用python编程语言进行开发的后门程序,它使用了Telegram的基础设施以及功能丰富的bot API(应用程序编程接口)。以这种聊天机器人为基础,它可以将这一通信服务平台打造成为一种C&C平台。

bt2的功能非常丰富,它可以提供类似后门工具的功能,例如命令执行,利用shell命令来与目标主机进行通信,下载或上传文件,而且它还提供了一个可供用户加载并执行shellcode代码的组件。

由于这一概念验证工具是采用Python编程语言进行开发的,所以它是可以跨平台使用的。但是值得注意的是,该工具的shellcode执行组件只能够在windows操作系统平台中使用。

Telegram网络中的机器人会等待主服务器传递过来的控制命令。主控制器可以利用任何一个Telegram客户端来控制这些机器人。无论是桌面客户端,命令行工具,还是移动客户端,当它们对目标执行Post-Exploitation操作时,这种特性将会为攻击者提供无与伦比的灵活性。

我们之所以会选择使用Telegram,是因为其知名度正在不断上升,而且该网络服务的基础设施也非常的稳定可靠。而且还有一点是非常重要的,它所使用的通信协议是标准的HTTPS协议,所以当我们需要绕过企业网络的过滤设备时,它就能给我们提供非常大的帮助了。

为了保持之前所提到的灵活性,bt2并没有对客户端和服务器之间的通信链接进行加密。虽然这种加密实现起来并没有什么困难,我们只需要在Telegram客户端之中构建一个加密的通信信道就可以了,但是这一功能并不是该工具目前所要处理的问题。

大家可以在Blaze的Github主页中获取到这一工具。

免责声明:bt2仅仅是一款概念验证工具,我们绝非有意违反Telegram的有关条款和服务条例。除此之外,我们只允许这款工具使用与合法的渗透测试活动中,无论是该工具的开发人员还是Blaze信息安全公司的工作人员,都不可以将这款工具用于恶意活动之中。

工具的使用方法

在安装好工具之后,我们需要创建一个机器人程序(这一操作步骤在此不进行赘述,如果有疑问的话,可以点击这里来获取相关信息)。设置完成之后,我们所要做的就是与这个机器人程序发起会话。

在输入了”/help”命令之后,程序会给用户提供一个命令帮助列表,用户可以通过列表中的信息了解该工具的大致使用方法:

你可以在下图中看到该工具的运行情况,我们可以利用该工具提供的功能来获取到目标系统的信息,执行命令,并下载文件:

除了机器人程序之外,Github代码库中还包含有一个脚本程序,该脚本可以帮助渗透测试人员生成可供该工具执行的shellcode代码。从本质上来说,我们可以从Metasploit框架中复制出我们的shellcode代码,然后将其粘贴至该工具中,bt2会自动将其转换为base64的编码格式。操作完成之后,bt2便会执行这些功能代码。