Реализация коммуникация между пользователем и C2 сервером

[OldFont]

привет всем, разрабатываю свой RAT или же Botnet, бекенд на node.js билд на c# админская панель также на c#

общение между сервером и пользователем реализовывал через WebSocket'ы, но сейчас появились сомнения правильно ли я поступил, стоило ли мне делать на вебсокетах а не на обычных tcp сокетах? будут ли в будущем какие то проблемы с этим? по типу проблем с криптом, проблем с совместимостью, проблем с уязвимостями?

из функционала планирую сделать shell, пробег по директориям, какие нибудь хоткеи для загрузки стиллера \ майнера \ рата с удаленным управлением. рат нацелен на пользователей win10/win11 которые находятся за NAT (домашние пк)

может кто из знатоков подскажет что то полезное, очень жду и заранее спасибо за любые ответы

 

[omar_hayat]

Когда ты выбирал Вебсокеты думаю ты опирался на какие то его сильные стороны? Я не знаток этого протокола поэтому мне интересно будет узнать об его преимуществах перед другими.
Для себя при написании простого бекдора я выбрал классический HTTPS (HTTP+TLS). На мой взгляд в деле ратников лучшая маскировка это затеряться в толпе. Протокол HTTPS это позволяет. Плюс для его реализации доступны WinApi винды. Что снижает размер выходного билда.

 

[xChimera]

привет всем, разрабатываю свой RAT или же Botnet, бекенд на node.js билд на c# админская панель также на c#

общение между сервером и пользователем реализовывал через WebSocket'ы, но сейчас появились сомнения правильно ли я поступил, стоило ли мне делать на вебсокетах а не на обычных tcp сокетах? будут ли в будущем какие то проблемы с этим? по типу проблем с криптом, проблем с совместимостью, проблем с уязвимостями?

из функционала планирую сделать shell, пробег по директориям, какие нибудь хоткеи для загрузки стиллера \ майнера \ рата с удаленным управлением. рат нацелен на пользователей win10/win11 которые находятся за NAT (домашние пк)

может кто из знатоков подскажет что то полезное, очень жду и заранее спасибо за любые ответы

Обычный tcp может вызывать подозрение как по мне, я бы посоветовал использовать https

 

[david9999]

Communication options https

 

[OldFont]

Обычный tcp может вызывать подозрение как по мне, я бы посоветовал использовать https

в каком смысле? исполтзовать get / post запросы чтобы общаться? в случае масшатбирования проекта сервер перегружаться будет же разве нет?

 

[kerberos]

Смотри в сторону DNS-over-HTTPS как тут:
bleepingcomputer[.]com/news/security/chinese-hackers-use-dns-over-https-for-linux-malware-communication/

 

[OldFont]

Когда ты выбирал Вебсокеты думаю ты опирался на какие то его сильные стороны? Я не знаток этого протокола поэтому мне интересно будет узнать об его преимуществах перед другими.
Для себя при написании простого бекдора я выбрал классический HTTPS (HTTP+TLS). На мой взгляд в деле ратников лучшая маскировка это затеряться в толпе. Протокол HTTPS это позволяет. Плюс для его реализации доступны WinApi винды. Что снижает размер выходного билда.

websocket работает по принципу один http запрос -> tcp туннель, я выбирал его из за легкости в написании и возможности долго и эффективно держать множество соединений, тогда я думал что не осилю обычные сокеты и будет очень трудно, но щас я начал сомневаться

 

[OldFont]

Когда ты выбирал Вебсокеты думаю ты опирался на какие то его сильные стороны? Я не знаток этого протокола поэтому мне интересно будет узнать об его преимуществах перед другими.
Для себя при написании простого бекдора я выбрал классический HTTPS (HTTP+TLS). На мой взгляд в деле ратников лучшая маскировка это затеряться в толпе. Протокол HTTPS это позволяет. Плюс для его реализации доступны WinApi винды. Что снижает размер выходного билда.

может ты и прав, но я почти всегда в виде целей выбирал рядовых юзеров пекарен, из АВ у них Defender, из файрвола брандмауэр винды, ос стоит какой нибудь репак от флибустьера, в винде 100500 lpe и дохуя других эксплойтов

 

[OldFont]

Смотри в сторону DNS-over-HTTPS как тут:
bleepingcomputer[.]com/news/security/chinese-hackers-use-dns-over-https-for-linux-malware-communication/

благодарю за информацию, но в конце концов это обычное http/s безопасное - да, охуенное - да. Но всё же http/s на post запросах, и в случае большого количества пользователей серверу будет трудно держаться, я думаю, такой способ коммуникации идеально подойдет сверхмаленькому и очень закодированному бэкдору в корпоративной сети

 

[Xowak]

Но всё же http/s на post запросах, и в случае большого количества пользователей серверу будет трудно держаться

Вы определитесь, чего хотите от связи. Такие запросы обычный серв нормально настроенный может обрабатывать до тысяч (а то и нескольких десятков тысяч) в секунду. Если вы рассчитываете что у вас такой крутой ботнет из многих тысяч ботов будет долбиться на один адрес - у меня для вас плохая новость: сервер ваш прикроют и вы потеряете ботов.

 

[omar_hayat]

может ты и прав, но я почти всегда в виде целей выбирал рядовых юзеров пекарен, из АВ у них Defender, из файрвола брандмауэр винды, ос стоит какой нибудь репак от флибустьера, в винде 100500 lpe и дохуя других эксплойтов

Если планируются цели как ты описал, то твои ожидания соответствуют действительности, как мне кажется. Работать от обычных узеров не так геморно, нежели в корп секторе. И способ комунникации твоего агента с сервером не главная проблема.
Как по мне при обдумывании ботнета на первое место надо ставить архитектуру создаваемой сети. Точнее её отказоустойчивость. Я по этой теме для себя пока информацию не собирал. Есть только отдельные идеи оторванные от реальности и сформированные в некоторые требования:
1) клиент должен знать несколько адресов для коммуникации;
2) допустимо разделять адреса поулучения команд и адреса отправки результатов своей работы (выводы исполненых команд, файлы);
3) адреса для коммуникаций должны быть в таком домене, который не так то просто забанить;
4) неплохобы было обмениваться инфой с клиентом с применением стенографии (все результаты работы помещяются в некие контейнеры в виде графических файлов или иных, при рассмотрении которых сложно заметить в них скрытый контекст).

Понятно что это не окончательные требования. Повторюсь, что это только мысли вслух начинающего дилетанта. Думаю что как точка отсчёта для движения в этом направлении подойдёт.