C2基础建设 - Azure中继

2021-05-08 15:40:26 浏览数 (1)

AzureC2Relay是一个Azure功能,通过基于Cobalt Strike Malleable C2配置文件验证传入的请求来验证和中继Cobalt Strike信标流量。任何不共享配置文件用户代理,URI路径,标头和查询参数的传入请求都将被重定向到可配置的诱饵网站。验证后的C2流量将中继到同一虚拟网络中的团队服务器,该服务器进一步受到网络安全组的限制。允许VM仅公开SSH。

部署

AzureC2Relay是通过terraform azure模块以及一些本地az cli命令部署的

确保已安装terraform,az cli和dotnet core 3.1

Windows(Powershell)

代码语言:javascript复制
&([scriptblock]::Create((Invoke-WebRequest -UseBasicParsing 'https://dot.net/v1/dotnet-install.ps1'))) -runtime dotnet -version 3.1.0
Invoke-WebRequest 'https://releases.hashicorp.com/terraform/0.14.6/terraform_0.14.6_windows_amd64.zip'  -OutFile 'terraform.zip'
Expand-Archive -Path terraform.zip -DestinationPath "$([Environment]::GetFolderPath('ApplicationData'))TerraForm"
setx PATH "%PATH%;$([Environment]::GetFolderPath('ApplicationData'))TerraForm"
Invoke-WebRequest -Uri https://aka.ms/installazurecliwindows -OutFile .AzureCLI.msi; Start-Process msiexec.exe -Wait -ArgumentList '/I AzureCLI.msi /quiet'; rm .AzureCLI.msi

Mac

代码语言:javascript复制
curl -L https://dot.net/v1/dotnet-install.sh | bash -s --  --runtime dotnet --version 3.1.0
brew update 
brew tap hashicorp/tap
brew install hashicorp/tap/terraform
brew install azure-cli

Ubuntu , Debian

代码语言:javascript复制
curl -L https://dot.net/v1/dotnet-install.sh | bash -s --  --runtime dotnet --version 3.1.0
wget https://releases.hashicorp.com/terraform/0.14.5/terraform_0.14.5_linux_amd64.zip
unzip terraform_0.14.5_linux_amd64.zip
sudo cp terraform /usr/local/bin/terraform
curl -sL https://aka.ms/InstallAzureCLIDeb | sudo bash

Kali

代码语言:javascript复制
curl -L https://dot.net/v1/dotnet-install.sh | bash -s --  --runtime dotnet --version 3.1.0
wget https://releases.hashicorp.com/terraform/0.14.5/terraform_0.14.5_linux_amd64.zip
unzip terraform_0.14.5_linux_amd64.zip
sudo cp terraform /usr/local/bin/terraform
echo "deb [arch=amd64] https://packages.microsoft.com/repos/azure-cli/ stretch main" | sudo tee /etc/apt/sources.list.d/azure-cli.list
curl -L https://packages.microsoft.com/keys/microsoft.asc | sudo apt-key add -
sudo apt-get update && sudo apt-get install apt-transport-https azure-cli
  1. 修改其中定义的第一个变量config.tf以适合您的需求
  2. 将虚拟的“ cobaltstrike-dist.tgz”替换为实际的cobaltstrike下载
  3. 编辑/替换Ressources文件夹中的Malleable配置文件(确保配置文件文件名与您在步骤1中设置的变量匹配)
  4. login with azure az login
  5. run terraform init
  6. run terraform apply -auto-approve以部署基础设施
  7. 等待CDN启动!

terraform完成后,它将为您提供所需的ssh命令,CobaltStrike团队服务器将在已部署的VM上的tmux会话中运行使用完红外线后,您可以使用 terraform destroy -auto-approve

项目地址:

https://github.com/Flangvik/AzureC2Relay

DevOps解决方案 编程算法

0 人点赞