滥用Reddit API来承载C2流量,AV完全免杀-网络攻防学习社区-安全圈子-FancyPig's blog

滥用Reddit API来承载C2流量,AV完全免杀

项目地址

https://github.com/kleiton0x00/RedditC2

RedditC2

滥用 Reddit API 托管 C2 流量,因为大多数蓝队成员都使用 Reddit,这可能是让流量看起来合法的好方法。

4dbfd19de7013342

 


🚫 [免责声明]:此项目的使用仅用于 教育/测试目的 。 严禁在未经授权 机器 上使用它 。 如果发现有人将其用于 非法/恶意目的 ,则回购作者将 承担任何责任。


要求

在 python3 中安装 PRAW 库:

pip3 install praw

快速开始

请参阅 快速入门指南 ,了解如何立即开始!

演示

 

 

工作流程

团队服务器

  1. 转到特定的 Reddit 帖子并使用命令 (“in: “) 发布新评论
  2. 阅读包含单词“out:”的新评论
  3. 如果没有找到这样的评论,则返回步骤 2
  4. 解析并读取输出
  5. 将现有评论编辑为“已执行”,以避免重新执行它

客户

  1. 转到特定的 Reddit 帖子并阅读包含“in:”的最新评论
  2. 如果没有检测到新评论,则返回步骤 1
  3. 从注释中解析出命令并在本地执行
  4. 使用命令的输出(“out:”)回复评论

扫描结果

由于它是定制的 C2 植入物,因此不会被任何 AV 检测到,因为行为是完全合法的。

TODO

  • [x] 兼容 Windows/Linux 的 Teamserver 和代理
  • [ ] 使流量加密
  • [ ] 添加上传/下载功能
  • [ ] 添加持久化功能
  • [ ] 动态生成代理(从 TeamServer)
  • [ ] 选项卡自动完成

 

请登录后发表评论

    没有回复内容