Туннель в никуда: как ngrok помогает обойти периметр и как это остановить

Всем привет! Сегодня речь пойдет о распределенном обратном прокси-сервере ngrok и эксплуатации его возможностей атакующими. По данным MITRE ATT&CK инструмент используется различными APT группировками, в том числе в атаках направленных на компании в России и странах СНГ, что упоминается в Ландшафте киберугроз от команды Kaspersky Cyber Threat Intelligence и в статье [Распутываем змеиный клубок: по следам атак Shedding Zmiy в блоге Solar 4Rays]( Распутываем змеиный клубок: по следам атак Shedding Zmiy ( rt-solar.ru ) ). В данной статье мы рассмотрим примеры использования ngrok в операционных системах Windows и Linux, а также определим маркеры, по которым можно выявить его использование.

https://habr.com/ru/companies/rvision/articles/932120/

#ngrok #tunnelling #tunnel #command_and_control #siem #detect

Recently tried Sliver C2 framework. It's pretty easy to setup:

https://github.com/BishopFox/sliver

#pentesting #c2 #command_and_control #redteam

Написание скриптов для Cobalt Strike C2 (Aggressor Script)

Cobalt Strike — это профессиональный инструмент для проведения тестов на проникновение (penetration testing) и моделирования действий злоумышленников (adversary simulation). Основной функцией Cobalt Strike является возможность создавать Beacon'ы - асинхронные пост-эксплуатационный агенты, которые могут осуществлять команды управления и контроля (C2), обеспечивая связь между атакующим и скомпрометированными системами. Aggressor Script — это мощный инструмент, разработанный для расширения функциональности Cobalt Strike и автоматизации различных задач в процессе тестирования на проникновение. Он позволяет пользователям Cobalt Strike писать свои скрипты на языке Sleep , чтобы автоматизировать и настраивать поведение инструмента.

https://habr.com/ru/articles/815927/

#command_and_control #cobalt_strike #постэксплоит #aggressor_script #lazagne