Proxy inverso Cobalt Strike C2 para Blue Teams
RedWardencombina muchas de esas grandes ideas en una única utilidad liviana, imitando a Apache2 en sus raíces de ser un simple proxy inverso HTTP (S).
La combinación de la comprensión de los perfiles de Maleable C2, el conocimiento del conjunto de direcciones IP incorrectas y la flexibilidad de agregar fácilmente una nueva inspección y una lógica de enrutamiento erróneo, resultó en tener un astuto repelente para las inspecciones por infrarrojos.
Este programa actúa como un proxy inverso HTTP/HTTPS con varias restricciones impuestas a las solicitudes HTTP C2 entrantes que seleccionan qué paquetes dirigir al Teamserver y cuáles eliminar, de manera similar a las restricciones de archivos .htaccess exigidas en Apache2 mod_rewrite.
RedWardenfue creado para resolver el problema de la evasión de IR/AV/EDRs/Sandboxes en la capa del redirector C2. Está destinado a reemplazar las configuraciones clásicas de Apache2+mod_rewrite utilizadas para ese propósito.
Características:
- Analizador de perfiles C2 maleable capaz de validar solicitudes HTTP/S entrantes estrictamente de acuerdo con el contrato maleable y descartar paquetes desembolsados en caso de violación (Perfiles maleables 4.0+ con variantes cubiertas)
- Capacidad para eliminar/reparar encabezados HTTP inesperados y no deseados agregados por sistemas provisionales como proxy´s y cachés (piense en CloudFlare) para cumplir con un contrato maleable válido.
- Lista negra masiva integrada con grupos y rangos de IPv4 que se sabe que están asociados con proveedores de seguridad de TI
- Entradas de registro de salida grepables (tanto en el registro de acceso combinado de Apache2 como en los formatos personalizados de RedWarden) útiles para rastrear eventos/problemas de conectividad de pares.
- Capacidad para consultar la dirección IPv4 de los pares de conexión con la información de geolocalización de IP/whois y confrontar eso con expresiones regulares predefinidas para descartar pares que se conectan fuera de organizaciones/países/ciudades de confianza, etc.
- Mitigación de ataques de reproducción incorporada que se aplica registrando los hashsums MD5 de las solicitudes aceptadas en la base de datos SQLite almacenada localmente y evitando las solicitudes aceptadas previamente.
- Permite definir declaraciones de ProxyPass para pasar solicitudes que coincidan con una URL específica a otros hosts
- Soporte para múltiples servidores
- Soporte para muchos hosts de proxy inverso y sitios de redireccionamiento que se dan en un orden aleatorio, lo que permite equilibrar la carga del tráfico o construir infraestructuras más versátiles.
- Puede reparar paquetes HTTP de acuerdo con el contrato maleable esperado en caso de que algunos de los encabezados estén dañados en el tráfico.
- Las noches de insomnio dedicadas a la resolución de problemas «por qué mi Beacon no funciona en CloudFlare/CDN/Domain Fronting» han terminado gracias a los registros detallados de solicitudes/respuestas HTTP (S) detalladas.
El RedWarden toma el perfil C2 maleable y el servidor del equipo hostname:porten su entrada. Luego analiza las secciones de perfil maleable suministradas para comprender el contrato y pasar solo aquellas solicitudes entrantes que lo satisfacen mientras desvían a otras.
Secciones como http-stager, http-get, http-posty sus correspondientes URI, los encabezados, los patrones PRECEDENTE/AÑADIDO, User-Agent se usan para distinguir entre la petición del faro legítima y el ruido de Internet no relacionado o IR/AV/EDR paquetes fuera de la envolvente.
El programa se beneficia de los maravillosos rangos de IP incorrectos conocidos que provienen de: curi0usJack y los demás: https://gist.github.com/curi0usJack/971385e8334e189d93a6cb4671238b10
El uso de una lista negra de direcciones IP junto con la búsqueda de palabras clave incorrectas conocidas a través de consultas de DNS de IP inversa e inspección de encabezados HTTP, brinda la confiabilidad para aumentar considerablemente la resistencia del redirector a los pares no autorizados que desean examinar las infraestructuras de los atacantes.
Los paquetes no válidos pueden enrutarse incorrectamente de acuerdo con tres estrategias:
- Redireccionamiento : simplemente redirige a un compañero a otros sitios web, como Rick Roll.
- reset : Elimine la conexión TCP inmediatamente.
- proxy : obtenga una respuesta de otro sitio web, para imitar el sitio web clonado / secuestrado lo más fielmente posible.
Más información y descarga de RedWarden: