Gmail为用户和企业提供电子邮件功能。这意味着允许大多数组织中的Gmail服务器流量。来自另一方的红队操作需要尽可能隐蔽,因此使用ICMP和SMTP 等合法协议来执行命令到受感染的主机是必不可少的。为此,Web Gcat和Gdog上有两个重要的工具,它们都可以使用Gmail作为命令和控制服务器。
Gcat
Gcat是基于python的框架,它使用Gmail来执行命令和控制服务器。Gcat中包含的植入物将定期与Gmail收件箱一起显示,并检查是否有任何带有活动ID的新消息。如果有,这些电子邮件中包含的命令将在受感染的主机上执行,当收到新响应时,该信息将传递给控制台。
为了允许Gcat与Gmail通信,需要启用以下设置。
在安全性较低的应用程序的Gmail设置需要开启。
此外,还需要从Google帐户设置启用IMAP设置。
下一步是将implant.py文件转换为可执行文件。有多种方法可以实现,但最简单的方法是创建一个setup.py文件,其中包含以下代码并使用py2exe。
# setup.py
from distutils.core import setup
import py2exe
setup(console=['implant.py'])
使用以下参数运行python.exe将创建可执行文件。
从植入物在主机上执行的那一刻起,攻击者就可以通过Gmail发送命令。
以下命令将列出正在运行植入的主机。Windows-post2008Server-6.2.9200-AMD64之前的任何内容都是ID。这可以用于与主机和发送命令交互,也可以用于查看这些命令的输出。
Gcat提供了执行CMD命令的能力。因此,可以执行各种命令以枚举系统信息。
通过指定进程ID,将检索命令的输出。
这同样适用于任何其他命令,如ipconfig。
Gdog
Gdog是Gcat的继承者,它实际上是相同的命令和控制工具,但更先进,因为它可以检索地理定位信息,它具有键盘记录功能,它支持加密通信和各种其他功能。但是它有更多依赖项,因为它需要安装以下模块才能将文件编译为可执行文件:client.py
通过下载必要的存档并使用install参数运行setup.py文件,可以轻松安装WMI和Enum34 。
与Gcat(IMAP和安全性较低的应用程序)一样,需要应用相同的Gmail设置。只要所有模块都已成功安装且没有错误,就可以使用相同的代码将client.py转换为可执行文件。
# setup.py
from distutils.core import setup
import py2exe
setup(console=['client.py'])
从client.exe(植入物)在远程主机上执行的那一刻起,各种命令都可以通过Gmail以加密形式发送。
以下屏幕截图演示了Gdog可以执行的一些活动:
系统信息:
消息框:
执行命令:
下载文件:
资源
- https://github.com/byt3bl33d3r/gcat
- https://github.com/maldevel/gdog
- https://github.com/pyinstaller/pyinstaller
- http://www.pyinstaller.org/