Привет всем! У меня есть вопрос: я настроил Sliver в тестовом режиме для C2. Ничего на нем не делал, активных шеллов не было, и вдруг приходит уведомление об абузе — win.sliver abuse. Ранее такое же происходило и с Кобе. Хотел бы узнать, как в Sliver сделать так, чтобы эти абузы не приходили. Что нужно изменить?
-
XSS.stack #1 – первый литературный журнал от юзеров форума
C&C Вопрос по скрытию c2 от абуз
- Автор темы playa01
- Дата начала
Добрый вечер!
Вот мой вам совет: купите домен, привязывайте клаудфлейр, потом установите сливер, коба, хавок на локалном вм ( это может быт кали, убунту итд ), откройте http/https листенер ( https://192.168.2.30:443 ) потом переключаемся к клаудфлейр => zero trust => tunnel. Сделаем новый туннель, далее выбираем на какой ос хотим установить cloudflared. ( cloudflared это софт или утилита для туннелизаци нашего ип:порт к интернету с помощью домена ), у каждого нового созданного туннеля есть свой уникальный id копируем его и вставляем на терминале. После успешный авторизации на кф появляется наш агент. Жмём далее и указываем ип:порт нашего листенера с http или https запросом и выбираем домен, напишем наш субдомен, она само всё настроит. и жмём готова!
Уволя у нас теперь есть локальный листенер с доменфронтом.
Последный штрих, компиляции бикона ( beacon ) укажем хост:порт бинд наш локальный ип, а для коллбек хоста напишем наш домен нейм.
Почему это хорошо?
Все биконы отправляют и получают запрос от домен нейма а не ип:порт.
Если вы теряете доступ к вм, просто сделайте новый и подключите к кф туннелю.
Зачем вам терять много времени искать хорошего оффшор провайдера + потратив много денег если есть такой бесплатный и хороший вариант.
PS: ваш домен ни кто сканировать не будет. Только боты от ав вендоров. Если вы массово залили бикон без крипта, то да на с2 панели будут приходить воты.
Вот мой вам совет: купите домен, привязывайте клаудфлейр, потом установите сливер, коба, хавок на локалном вм ( это может быт кали, убунту итд ), откройте http/https листенер ( https://192.168.2.30:443 ) потом переключаемся к клаудфлейр => zero trust => tunnel. Сделаем новый туннель, далее выбираем на какой ос хотим установить cloudflared. ( cloudflared это софт или утилита для туннелизаци нашего ип:порт к интернету с помощью домена ), у каждого нового созданного туннеля есть свой уникальный id копируем его и вставляем на терминале. После успешный авторизации на кф появляется наш агент. Жмём далее и указываем ип:порт нашего листенера с http или https запросом и выбираем домен, напишем наш субдомен, она само всё настроит. и жмём готова!
Уволя у нас теперь есть локальный листенер с доменфронтом.
Последный штрих, компиляции бикона ( beacon ) укажем хост:порт бинд наш локальный ип, а для коллбек хоста напишем наш домен нейм.
Почему это хорошо?
Все биконы отправляют и получают запрос от домен нейма а не ип:порт.
Если вы теряете доступ к вм, просто сделайте новый и подключите к кф туннелю.
Зачем вам терять много времени искать хорошего оффшор провайдера + потратив много денег если есть такой бесплатный и хороший вариант.
PS: ваш домен ни кто сканировать не будет. Только боты от ав вендоров. Если вы массово залили бикон без крипта, то да на с2 панели будут приходить воты.
Последнее редактирование:
1.Убери хостинг стейджеров (это про кс)
2.фронтирование как выше, редиректоры, прокладки, впны
Здравствуйте, спасибо за ваш ответ относительно трафика. теперь edr правильно определяют сам файл. есть ли у вас какие-либо советы о том, что делать с самим файлом?
Иди криптуй, крипторов на рынке полно. Но так только скантайм уберешь. Через время скорее всего и рантайм начнет палиться, и то если все правильно настроил. Хорошая стратегия - заходить с одним С2, а на жертве осталять еще один резервный вариант, который стучит реже
Добрый день!
Строго работаете шеллкодом, шифруйте его с хором, даблхор или аес. Берете лодер на расте или на го из гитхаба. Сделайте тестовый билд с вашим шифрованном шеллкодам, и делайте скан чтобы узнать у какого ав вендора есть детект это может выглядит вот так (Trojan.Win64/GenKryptik.HIZF). Далее копируем вес сурскод лодера, вставляем на чатгпт и спросим что есть вот такой детект и как его обойти. Чатгпт даст нам обновленный код тестируем его итд до фуд резултата.
Вот так бесплатно можете сделать себе фуд шеллкод лодер.
Да! Это врайтап может выглядеть вам очень такой симпл, но это даст минимум детеков.
Чтобы сделать фуд, нужно потратить много времени, усилий. Нужно изучать на каком этапе идёт триггер ав ( VirtualAlloc, CreateThread ), и как сделать так чтобы его обойти.
Последнее редактирование:
никак, хостер тебя сканирует, находит запрещенку и блочит. Я так же само просто установил Sliver ниразу его не запустив получил бан на следующий день. Ищи хостера который не лазит по твоим файлам, или хотя бы делает вид что не лазит.
- Автор темы
- Добавить закладку
- #8
Всем спасибо за помощь! Решение нашел без детекта, уже больше недели все ок. Ваша информация тоже была полезна, помогла разобраться. Благодарю за поддержку, все получилось, удачи всем!
- Автор темы
- Добавить закладку
- #9
Если честно, проблема не в бэкенде или в том, куда стучит запрос, а в самой нагрузке. Нужно не криптовать, а использовать кастомный дропер, а также грамотно настроенный лоадер с нужными техниками и вызовами, не через Win API, а NT и прочие техники вытекающие далее уже. Это гораздо более сложная задача, чем просто закинуть криптору на статичный файл. Совет по поводу двух C2 серверов хороший, но достаточно одного грамотно настроенного C2, ну и лучше даже на 2-3 серверах с разной скоростью отклика и различными доменами. Это даст стабильность и лучшую скрытность в сети таргета.
- Автор темы
- Добавить закладку
- #10
Тут вы не правы скажу на личном опыте для будущих поколений
- Автор темы
- Добавить закладку
- #11
Ребят не засоряйте тему это тема для технического аспекта а коммерция в другом разделе.
Можете порекомендовать, где можно анонимно купить домен?
Можно посмотреть здесь. Или выбрать сервисы на торговой площадке тут.