J

ak w środowisku, które jest poddawane dokładnej filtracji sieciowej stworzyć obejście i tunel do własnych serwerów C2? Istnieje wiele dróg, aby ominąć monitoring oraz restrykcje przepływu informacji z jednej sieci do drugiej. W niektórych przypadkach sprawdzą się takie narzędzia, jak ICMPsh lub DNScat. Jednak w tym wpisie zajmiemy się przypadkiem filtrowania przez proxy sieci wewnętrznej odwiedzanych stron internetowych. Coraz częściej firmy nie tylko blokują szkodliwe strony, ale także blokują dostęp do witryn, które zostały niezakwalifikowane do żadnej kategorii ( np. zakupy, finanse, sport itd.) lub posiadają wątpliwą / niską reputację.

Dlatego poniższa metoda pozwoli nam na przejęcie domeny, która zyskała już swoją kategoryzację oraz posiadała dobrą reputację zanim wygasła. Pomysł polega na tym, aby ponownie zarejestrować domenę krótko po tym, jak jej właściciel zapomniał / nie chciał jej odnowić – więc jej właściwości (kategoria, linki zwrotne, pozycja seo itd.) powinny być jeszcze świeże i obowiązujące. Jak możemy tego dokonać? Prosto. Wystarczy wejść na stronę Expired Domains. Serwis ten możemy wykorzystać bez żadnej rejestracji konta (jednak darmowa rejestracja daje nam dostęp do większej ilości treści i filtrów). Kolejne kroki, aby osiągnąć nasz cel przestawiają się następująco:

• Przechodzimy do usuniętych domen TLD (dla nas z Polski), czyli “Deleted .pl Domains“,
• Sortujemy listę malejąco po kolumnie “SimilarWeb“,
• Wybieramy odpowiadającą nam domenę z top 10 od góry klikając na link z kolumny SimilarWeb (ważne, aby domena nie była kojarzona z serwisem dla dorosłych lub inną ciemniejszą stroną internetu),
• Sprawdzamy czy nasz traf posiada odpowiedni “Category Rank“,
• Jeśli domena dobrze się prezentuje rejestrujemy ją dbając o prywatność wpisu WHOIS
• Przekierowujemy główny rekord A na nasz serwer C&C,
• Z poziomu serwera generujemy zaufany certyfikat SSL dla naszej domeny.

Gotowe. Teraz wszystko zależy od scenariusza, jaki założyliśmy sobie przy testach. Czy zależy nam na pobieraniu, czy wysyłaniu danych? Certyfikat otrzymany w ostatnim kroku pozwala nam na szyfrowanie ruchu i dodaje do zaufanej reputacji domeny lepsze szanse na pominięcie mechanizmów filtrowania. Ochrania również poufne dane, które będziemy chcieli “wyprowadzić” z testowanej firmy, a także pomoże przejść obok niektórych narzędzi antywirusowych, gdybyśmy chcieli pobrać do sieci wewnętrznej jakieś narzędzia pomocnicze z naszego serwera lub utworzyć powłokę zwrotną.

Więcej informacji: How to Bypass Web-Proxy Filtering