Как насчет того, чтобы поднять планку устойчивости к IR системам в редиректорах C2.
Компания Red Teaming увидела несколько отличных идей о том, как бороться с IR и направлять их в ложное русло, одновременно предлагая устойчивую сеть редиректоров C2.
Эта работа объединяет многие из этих замечательных идей в одну легковесную утилиту, имитирующую Apache2, являющейся простым обратным прокси-сервером HTTP(S).
Сочетание профилей Malleable C2, знания пула плохих IP-адресов и гибкости простого добавления новой проверки и неправильной маршрутизации - привело к созданию отталкивающего инструмента для проверки IR.
Если какой-либо недопустимый входящий пакет достигнет RedWarden - вы можете перенаправить, сбросить или просто проксировать его!
Резюме
Эта программа действует как обратный прокси-сервер HTTP/HTTPS с несколькими ограничениями, налагаемыми на входящие HTTP-запросы C2, выбирая, какие пакеты направлять на Teamserver, а какие отбрасывать, аналогично ограничениям файла .htaccess, установленным в mod_rewrite Apache2.
RedWarden был создан для решения проблемы уклонения от IR/AV/EDR/Sandboxes на уровне редиректора C2. Он предназначен для замены классических настроек Apache2 + mod_rewrite, используемых для этой цели.
Функции:
- Синтаксический анализатор профиля C2, способный проверять входящие HTTP/S-запросы строго в соответствии с профилем и отбрасывать пакеты в случае нарушения
- Возможность отфильтровывать/восстанавливать нежелательные заголовки HTTP, добавленные промежуточными системами, такими как прокси и кеши (например, CloudFlare), чтобы соответствовать действующему профилю.
- Интегрированный тщательно подобранный массивный черный список пулов и диапазонов IPv4, которые, как известно, связаны с поставщиками ИТ-безопасности
- Фильтруемые записи логов вывода (как в комбинированном журнале доступа Apache2, так и в пользовательских форматах RedWarden), полезные для отслеживания событий/проблем однорангового подключения
- Возможность запрашивать IPv4-адрес подключающегося однорангового узла по IP-геолокации/whois-информации и сравнивать это с заранее заданными регулярными выражениями, чтобы исключить одноранговые узлы, подключающиеся за пределами доверенных организаций/стран/городов и т.д.
- Встроенная функция защиты от атак Replay, обеспечивающая регистрацию хэш-сумм MD5 принятых запросов в локально хранящуюся базу данных SQLite и предотвращение ранее принятых запросов.
- Позволяет определять состояние ProxyPass для передачи запросов, соответствующих определенному URL-адресу, на другие хосты.
- Поддержка нескольких командных серверов
- Поддержка множества хостов с обратным проксированием/сайтов для перенаправления, предоставляемых в случайном порядке, что позволяет балансировать нагрузку на трафик или создавать более универсальные инфраструктуры.
- Может восстанавливать HTTP-пакеты в соответствии с ожидаемым профилем в случае, если некоторые из заголовков были повреждены в трафике.
- Бессонные ночи, потраченные на устранение неполадок, "почему мой маячок не работает через CloudFlare/CDN/Domain Fronting" закончились благодаря подробным подробным журналам запросов/ответов HTTP(S)
RedWarden принимает на вход профиль Malleable C2 и имя хоста командного сервера:порт. Затем он анализирует предоставленные разделы профиля, чтобы понять контракт и передавать только те входящие запросы, которые его удовлетворили, а другие направляет неверно.
Такие секции, как http-stager, http-get, http-post и их соответствующие uris, заголовки, шаблоны добавления/добавления, User-Agent используются для различения легитимного запроса маячка и несвязанного интернет-шума или IR/AV/EDR вне связанных пакеты.
Программа извлекает выгоду из чудесных известных диапазонов плохих IP-адресов от: curi0usJack и других: https://gist.github.com/curi0usJack/971385e8334e189d93a6cb4671238b10
Использование черного списка IP-адресов вместе с поиском известных плохих ключевых слов с помощью запросов DNS с обратным IP и проверки заголовков HTTP обеспечивает надежность и значительно увеличивает отказоустойчивость редиректора для неавторизованных одноранговых узлов, желающих изучить инфраструктуры злоумышленников.
Неверные пакеты могут быть неправильно маршрутизированы в соответствии с тремя стратегиями:
- redirect: просто перенаправляйте одноранговый узел на другие веб-сайты, такие как Rick Roll.
- reset: немедленно прервать TCP-соединение.
- proxy: получение ответа с другого веб-сайта, чтобы максимально точно имитировать клонированный/взломанный веб-сайт.
Эта конфигурация обязательна в файле конфигурации:
В примере ниже показан результат перенаправления на https://googole.com:
Используйте это с умом, оставайтесь в безопасности.
Требования
Эта программа может работать только в системах Linux, поскольку она использует fork для создания нескольких процессов.
Также ожидается установка системной команды openssl, поскольку она используется для генерации сертификатов SSL.
Наконец, легко установите все зависимости Python3 PIP с помощью команды:
bash $ sudo pip3 install -r requirements.txt
Использование
Пример использования
Минимальный файл конфигурации RedWarden config.yaml может содержать такие данные:
Затем программу можно запустить, указав ей путь к файлу конфигурации:
Приведенный выше вывод содержит строку, указывающую на то, что произошел неавторизованный, несовместимый с нашим входящим запросом профиля C2 запром, который был отброшен из-за представленной несовместимой строки User-Agent:
Случаи применения
Установите геолокацию IP для отправителей трафика маячка
Вы очень хорошо прошли пре-фишинг и OSINT. Теперь вы знаете, где живут ваши цели, и имеете некоторые подсказки, откуда должен исходить трафик, или, по крайней мере, как обнаружить полностью вспомогательный трафик. Как наложить геолокацию IP на запросы маячков?
RedWarden приходит на помощь!
Допустим, вы хотите принимать трафик только из Польши, Европы. Ваши результаты пре-фишинга/OSINT показывают, что:
- 89.64.64.150 - это законный IP-адрес одной из ваших целей, происходящий из Польши.
- 59.99.140.76, тогда как этот - нет, и он достиг ваших систем как обычный пакет интернет-шума.
Вы можете использовать утилиту RedWarden lib/ipLookupHelper.py для сбора метаданных IP Geo об этих двух адресах:
Запрос покажет вывод
А другой ответит так
Теперь вы видите, что в первом было "страна": "Польша", а во втором "страна": "Индия". Обладая этими знаниями, мы готовы разработать наши ограничения в виде здоровенного словаря YAML:
Каждая из записей этого словаря принимает регулярное выражение для сопоставления с определенными метаданными IP Geo IP-адреса входящего однорангового узла. Мы используем три записи в свойстве страны, чтобы разрешить запросы, имеющие одно из указанных значений.
Установив это в своей конфигурации, вы можете проверить, будет ли другой IP-адрес проходить через дискриминатор IP-геолокации RedWarden или нет, с помощью утилиты ipLookupHelper, принимающей второй параметр:
Самая последняя строка сообщает вам, будет ли пакет заблокирован или принят.
И это все! Сконфигурируйте ограничения геолокации IP с умом и безопасностью, внимательно проверьте журналы RedWarden на предмет любых записей DROP, связанных с IP-геолокацией, и сохраняйте чистый и аккуратный трафик C2!
Исправление подделанных запросов маячка
Если вам довелось использовать системы, такие как AWS Lambda или CloudFlare, в качестве фронтинга домена/редиректора , вы наверняка сталкивались с ситуацией, когда некоторые из ваших пакетов не могли быть приняты командным сервером, поскольку они отклонялись от согласованного контракта. Был ли изменен или удален HTTP-заголовок, переупорядоченные файлы cookie или что-то еще - держу пари, вы потратили впустую много часов вашей жизни.
Для борьбы с проблемами процесса настройки каналов C2 и временным вмешательством в систему RedWarden предлагает функции восстановления пакетов маячка.
Он делает это, проверяя, каким должен быть пакет в профиле, и может восстанавливать настроенные заголовки HTTP до согласованных значений в соответствии с требованиями профиля.
Рассмотрим следующий простой профиль:
Вы видите это Accept-Encoding? Каждый запрос маяка должен содержать этот заголовок и это значение. Что произойдет, если ваш маяк попадет в системы CloudFlare, и они отправят запрос, который будет удален из этого заголовка или вместо него будет Accept-Encoding: gzip? Командный серве сбросит запрос на месте.
Установив этот заголовок в разделе конфигурации RedWarden под названием repair_these_headers, вы можете обезопасить свое соединение:
Примеры результатов
Давайте посмотрим на результат, который производит прокси.
При выборе опции verbose: True для детализации будет установлено значение INFO, самое большее, чтобы указать принятые запросы от отброшенных.
Запрос может быть принят, если он соответствует всем критериям, заданным в файле конфигурации RedWarden. За такой ситуацией последует журнал записей [ALLOW, ...]:
Если запрос не прошел какую-либо из проверок, выполняемых RedWarden для каждого запроса, будет выдана соответствующая строка [DROP, ...], содержащая информацию о причине отбрасывания:
Тонкая настройка политик отбрасывания
Существует множество причин, по которым можно отказаться от запроса. Каждую из этих проверок можно независимо включать и выключать в соответствии с требованиями или в процессе точной настройки или исправления ошибочного решения:
Выдержка из example-config.yaml:
По умолчанию все эти проверки выполняются принудительно.
Включение отладки: True заполнит буфер вашей консоли множеством строк журнала, описывающих каждый шаг, который RedWarden предпринимает в своем сложном процессе принятия решений. Если вы хотите видеть свои запросы и ответы полностью - установите значение true для отладки и трассировки и погрузитесь в бремя логирования журнала!
FAQ
- Может ли эта программа работать без Malleable профиля?
Да, она может. Однако логика проверки запросов будет отключена, все остальное должно работать нормально: принудительное определение геолокации IP, логика обратного просмотра, список заблокированных IP-адресов и т.д.
- Можно ли эту программу легко адаптировать и к другим фреймворкам C2? Например, Mythic, Covenant и т.д.?
Легко нет. С некоторыми усилиями - да. Как я описал ниже, инструмент написан плохо, что сделает адаптацию других C2 затруднительной. Однако это вполне выполнимо, если учесть время и усилия.
- Мои пакеты сбрасываются. Почему?
Попробуйте включить debug: True и trace: True, чтобы собрать как можно больше журналов. Затем вам нужно будет просмотреть журналы и выяснить, что происходит. Пакеты выглядят именно так, как вы ожидали, в вашем профиле? Или, может быть, в сети произошло тонкое вмешательство, которое заставило RedWarden отбросить пакет (и это могло заставить командный сервер отбросить его?).
Известные проблемы
- Программа может немного увеличить пропускную способность интерактивного сна.
- Логика обработки ProxyPass далека от совершенства и действительно содержит ошибки (и о боже, это убого!).
- Странные формы файлов конфигурации могут подорвать парсер RedWarden и заставить его пожаловаться.
Самый простой способ преодолеть это - скопировать example-config.yaml и поработать над ним.
Боже мой, почему этот код - такая инженерная чушь?
Мой Код - это ОДИН ГРЕБАНЫЙ БОЛЬШОЙ АД ПОСТРОЕННЫЙ ИЗ ГОВНА И ПАЛОК - я признаю это - и для этого тоже есть честная причина: проект разрабатывался на 90% во время фактических взаимодействий с RT. Как мы все знаем, такого рода мероприятия требуют множества дел, и времени на разработку надлежащего сложного инструмента практически не остается. Не говоря уже о критичности этой программы в настройке проекта. Первоначально инструмент начинался с простого прокси-скрипта, написанного на Python2, чтобы затем развиваться как прокси с плагинами, получил плагин malleable_redirector - и с тех пор я очень старался, чтобы proxy2 поддерживал обратную совместимость с другими плагинами, которые я сделал для него, и придерживаюсь своей первоначальной цели.
Однако пришло время отпустить его, провести ребрендинг и начать исправлять все появившиеся неприятные запахи кода.
С учетом всего вышесказанного, пожалуйста, выразите мне некоторую степень сострадания, когда поднимаете вопросы, отправляете запросы на пул и пытаетесь помочь, а не осуждать!
Спасибо!
ЧТО НУЖНО СДЕЛАТЬ
- Изучить возможность использования каналов Threat Intelligence в гнусных целях - например, для обнаружения поставщиков средств безопасности на основе IP-адресов.
- Добавить поддержку базы данных MaxMind GeoIP/API
- Реализовать поддержку подписей JA3 как при обнаружении, так и при блокировке и олицетворении для поддельных настроек nginx/Apache2/пользовательских настроек.
- Добавить уникальную логику отслеживания маячков, чтобы предложить гибкость отказа от промежуточных и коммуникационных процессов по собственному усмотрению прокси.
- Ввести ограничение по времени при предложении возможностей перенаправления (прокси только в рабочее время)
- Добавить логику аутентификации и авторизации прокси на CONNECT/relay.
- Добавить целевое перенаправление мобильных пользователей
- Добавить параметры конфигурации, чтобы определить пользовательские заголовки HTTP, которые должны быть введены, или те, которые будут удалены.
- Добавить параметры конфигурации, чтобы требовать наличия определенных заголовков HTTP в запросах, соответствующих критериям ProxyPass.
- Интерактивный интерфейс, позволяющий вводить простые символы, управляющие подробностью вывода журнала, аналогично Nmap
- Переписать логику парсера профиля на pyMalleableC2. Когда я впервые начал кодить собственную логику парсера, на Github не было такого инструментария.
- Отрефакторить всю кодовую базу
Переведено специально для xss.pro
Автор перевода: yashechka
Источник: https://github.com/mgeeky/RedWarden
Компания Red Teaming увидела несколько отличных идей о том, как бороться с IR и направлять их в ложное русло, одновременно предлагая устойчивую сеть редиректоров C2.
Эта работа объединяет многие из этих замечательных идей в одну легковесную утилиту, имитирующую Apache2, являющейся простым обратным прокси-сервером HTTP(S).
Сочетание профилей Malleable C2, знания пула плохих IP-адресов и гибкости простого добавления новой проверки и неправильной маршрутизации - привело к созданию отталкивающего инструмента для проверки IR.
Если какой-либо недопустимый входящий пакет достигнет RedWarden - вы можете перенаправить, сбросить или просто проксировать его!
Резюме
Эта программа действует как обратный прокси-сервер HTTP/HTTPS с несколькими ограничениями, налагаемыми на входящие HTTP-запросы C2, выбирая, какие пакеты направлять на Teamserver, а какие отбрасывать, аналогично ограничениям файла .htaccess, установленным в mod_rewrite Apache2.
RedWarden был создан для решения проблемы уклонения от IR/AV/EDR/Sandboxes на уровне редиректора C2. Он предназначен для замены классических настроек Apache2 + mod_rewrite, используемых для этой цели.
Функции:
- Синтаксический анализатор профиля C2, способный проверять входящие HTTP/S-запросы строго в соответствии с профилем и отбрасывать пакеты в случае нарушения
- Возможность отфильтровывать/восстанавливать нежелательные заголовки HTTP, добавленные промежуточными системами, такими как прокси и кеши (например, CloudFlare), чтобы соответствовать действующему профилю.
- Интегрированный тщательно подобранный массивный черный список пулов и диапазонов IPv4, которые, как известно, связаны с поставщиками ИТ-безопасности
- Фильтруемые записи логов вывода (как в комбинированном журнале доступа Apache2, так и в пользовательских форматах RedWarden), полезные для отслеживания событий/проблем однорангового подключения
- Возможность запрашивать IPv4-адрес подключающегося однорангового узла по IP-геолокации/whois-информации и сравнивать это с заранее заданными регулярными выражениями, чтобы исключить одноранговые узлы, подключающиеся за пределами доверенных организаций/стран/городов и т.д.
- Встроенная функция защиты от атак Replay, обеспечивающая регистрацию хэш-сумм MD5 принятых запросов в локально хранящуюся базу данных SQLite и предотвращение ранее принятых запросов.
- Позволяет определять состояние ProxyPass для передачи запросов, соответствующих определенному URL-адресу, на другие хосты.
- Поддержка нескольких командных серверов
- Поддержка множества хостов с обратным проксированием/сайтов для перенаправления, предоставляемых в случайном порядке, что позволяет балансировать нагрузку на трафик или создавать более универсальные инфраструктуры.
- Может восстанавливать HTTP-пакеты в соответствии с ожидаемым профилем в случае, если некоторые из заголовков были повреждены в трафике.
- Бессонные ночи, потраченные на устранение неполадок, "почему мой маячок не работает через CloudFlare/CDN/Domain Fronting" закончились благодаря подробным подробным журналам запросов/ответов HTTP(S)
RedWarden принимает на вход профиль Malleable C2 и имя хоста командного сервера:порт. Затем он анализирует предоставленные разделы профиля, чтобы понять контракт и передавать только те входящие запросы, которые его удовлетворили, а другие направляет неверно.
Такие секции, как http-stager, http-get, http-post и их соответствующие uris, заголовки, шаблоны добавления/добавления, User-Agent используются для различения легитимного запроса маячка и несвязанного интернет-шума или IR/AV/EDR вне связанных пакеты.
Программа извлекает выгоду из чудесных известных диапазонов плохих IP-адресов от: curi0usJack и других: https://gist.github.com/curi0usJack/971385e8334e189d93a6cb4671238b10
Использование черного списка IP-адресов вместе с поиском известных плохих ключевых слов с помощью запросов DNS с обратным IP и проверки заголовков HTTP обеспечивает надежность и значительно увеличивает отказоустойчивость редиректора для неавторизованных одноранговых узлов, желающих изучить инфраструктуры злоумышленников.
Неверные пакеты могут быть неправильно маршрутизированы в соответствии с тремя стратегиями:
- redirect: просто перенаправляйте одноранговый узел на другие веб-сайты, такие как Rick Roll.
- reset: немедленно прервать TCP-соединение.
- proxy: получение ответа с другого веб-сайта, чтобы максимально точно имитировать клонированный/взломанный веб-сайт.
Эта конфигурация обязательна в файле конфигурации:
В примере ниже показан результат перенаправления на https://googole.com:
Используйте это с умом, оставайтесь в безопасности.
Требования
Эта программа может работать только в системах Linux, поскольку она использует fork для создания нескольких процессов.
Также ожидается установка системной команды openssl, поскольку она используется для генерации сертификатов SSL.
Наконец, легко установите все зависимости Python3 PIP с помощью команды:
bash $ sudo pip3 install -r requirements.txt
Использование
Пример использования
Минимальный файл конфигурации RedWarden config.yaml может содержать такие данные:
Затем программу можно запустить, указав ей путь к файлу конфигурации:
Приведенный выше вывод содержит строку, указывающую на то, что произошел неавторизованный, несовместимый с нашим входящим запросом профиля C2 запром, который был отброшен из-за представленной несовместимой строки User-Agent:
Случаи применения
Установите геолокацию IP для отправителей трафика маячка
Вы очень хорошо прошли пре-фишинг и OSINT. Теперь вы знаете, где живут ваши цели, и имеете некоторые подсказки, откуда должен исходить трафик, или, по крайней мере, как обнаружить полностью вспомогательный трафик. Как наложить геолокацию IP на запросы маячков?
RedWarden приходит на помощь!
Допустим, вы хотите принимать трафик только из Польши, Европы. Ваши результаты пре-фишинга/OSINT показывают, что:
- 89.64.64.150 - это законный IP-адрес одной из ваших целей, происходящий из Польши.
- 59.99.140.76, тогда как этот - нет, и он достиг ваших систем как обычный пакет интернет-шума.
Вы можете использовать утилиту RedWarden lib/ipLookupHelper.py для сбора метаданных IP Geo об этих двух адресах:
Запрос покажет вывод
А другой ответит так
Теперь вы видите, что в первом было "страна": "Польша", а во втором "страна": "Индия". Обладая этими знаниями, мы готовы разработать наши ограничения в виде здоровенного словаря YAML:
Каждая из записей этого словаря принимает регулярное выражение для сопоставления с определенными метаданными IP Geo IP-адреса входящего однорангового узла. Мы используем три записи в свойстве страны, чтобы разрешить запросы, имеющие одно из указанных значений.
Установив это в своей конфигурации, вы можете проверить, будет ли другой IP-адрес проходить через дискриминатор IP-геолокации RedWarden или нет, с помощью утилиты ipLookupHelper, принимающей второй параметр:
Самая последняя строка сообщает вам, будет ли пакет заблокирован или принят.
И это все! Сконфигурируйте ограничения геолокации IP с умом и безопасностью, внимательно проверьте журналы RedWarden на предмет любых записей DROP, связанных с IP-геолокацией, и сохраняйте чистый и аккуратный трафик C2!
Исправление подделанных запросов маячка
Если вам довелось использовать системы, такие как AWS Lambda или CloudFlare, в качестве фронтинга домена/редиректора , вы наверняка сталкивались с ситуацией, когда некоторые из ваших пакетов не могли быть приняты командным сервером, поскольку они отклонялись от согласованного контракта. Был ли изменен или удален HTTP-заголовок, переупорядоченные файлы cookie или что-то еще - держу пари, вы потратили впустую много часов вашей жизни.
Для борьбы с проблемами процесса настройки каналов C2 и временным вмешательством в систему RedWarden предлагает функции восстановления пакетов маячка.
Он делает это, проверяя, каким должен быть пакет в профиле, и может восстанавливать настроенные заголовки HTTP до согласованных значений в соответствии с требованиями профиля.
Рассмотрим следующий простой профиль:
Вы видите это Accept-Encoding? Каждый запрос маяка должен содержать этот заголовок и это значение. Что произойдет, если ваш маяк попадет в системы CloudFlare, и они отправят запрос, который будет удален из этого заголовка или вместо него будет Accept-Encoding: gzip? Командный серве сбросит запрос на месте.
Установив этот заголовок в разделе конфигурации RedWarden под названием repair_these_headers, вы можете обезопасить свое соединение:
Примеры результатов
Давайте посмотрим на результат, который производит прокси.
При выборе опции verbose: True для детализации будет установлено значение INFO, самое большее, чтобы указать принятые запросы от отброшенных.
Запрос может быть принят, если он соответствует всем критериям, заданным в файле конфигурации RedWarden. За такой ситуацией последует журнал записей [ALLOW, ...]:
Если запрос не прошел какую-либо из проверок, выполняемых RedWarden для каждого запроса, будет выдана соответствующая строка [DROP, ...], содержащая информацию о причине отбрасывания:
Тонкая настройка политик отбрасывания
Существует множество причин, по которым можно отказаться от запроса. Каждую из этих проверок можно независимо включать и выключать в соответствии с требованиями или в процессе точной настройки или исправления ошибочного решения:
Выдержка из example-config.yaml:
По умолчанию все эти проверки выполняются принудительно.
Включение отладки: True заполнит буфер вашей консоли множеством строк журнала, описывающих каждый шаг, который RedWarden предпринимает в своем сложном процессе принятия решений. Если вы хотите видеть свои запросы и ответы полностью - установите значение true для отладки и трассировки и погрузитесь в бремя логирования журнала!
FAQ
- Может ли эта программа работать без Malleable профиля?
Да, она может. Однако логика проверки запросов будет отключена, все остальное должно работать нормально: принудительное определение геолокации IP, логика обратного просмотра, список заблокированных IP-адресов и т.д.
- Можно ли эту программу легко адаптировать и к другим фреймворкам C2? Например, Mythic, Covenant и т.д.?
Легко нет. С некоторыми усилиями - да. Как я описал ниже, инструмент написан плохо, что сделает адаптацию других C2 затруднительной. Однако это вполне выполнимо, если учесть время и усилия.
- Мои пакеты сбрасываются. Почему?
Попробуйте включить debug: True и trace: True, чтобы собрать как можно больше журналов. Затем вам нужно будет просмотреть журналы и выяснить, что происходит. Пакеты выглядят именно так, как вы ожидали, в вашем профиле? Или, может быть, в сети произошло тонкое вмешательство, которое заставило RedWarden отбросить пакет (и это могло заставить командный сервер отбросить его?).
Известные проблемы
- Программа может немного увеличить пропускную способность интерактивного сна.
- Логика обработки ProxyPass далека от совершенства и действительно содержит ошибки (и о боже, это убого!).
- Странные формы файлов конфигурации могут подорвать парсер RedWarden и заставить его пожаловаться.
Самый простой способ преодолеть это - скопировать example-config.yaml и поработать над ним.
Боже мой, почему этот код - такая инженерная чушь?
Мой Код - это ОДИН ГРЕБАНЫЙ БОЛЬШОЙ АД ПОСТРОЕННЫЙ ИЗ ГОВНА И ПАЛОК - я признаю это - и для этого тоже есть честная причина: проект разрабатывался на 90% во время фактических взаимодействий с RT. Как мы все знаем, такого рода мероприятия требуют множества дел, и времени на разработку надлежащего сложного инструмента практически не остается. Не говоря уже о критичности этой программы в настройке проекта. Первоначально инструмент начинался с простого прокси-скрипта, написанного на Python2, чтобы затем развиваться как прокси с плагинами, получил плагин malleable_redirector - и с тех пор я очень старался, чтобы proxy2 поддерживал обратную совместимость с другими плагинами, которые я сделал для него, и придерживаюсь своей первоначальной цели.
Однако пришло время отпустить его, провести ребрендинг и начать исправлять все появившиеся неприятные запахи кода.
С учетом всего вышесказанного, пожалуйста, выразите мне некоторую степень сострадания, когда поднимаете вопросы, отправляете запросы на пул и пытаетесь помочь, а не осуждать!
Спасибо!ЧТО НУЖНО СДЕЛАТЬ
- Изучить возможность использования каналов Threat Intelligence в гнусных целях - например, для обнаружения поставщиков средств безопасности на основе IP-адресов.
- Добавить поддержку базы данных MaxMind GeoIP/API
- Реализовать поддержку подписей JA3 как при обнаружении, так и при блокировке и олицетворении для поддельных настроек nginx/Apache2/пользовательских настроек.
- Добавить уникальную логику отслеживания маячков, чтобы предложить гибкость отказа от промежуточных и коммуникационных процессов по собственному усмотрению прокси.
- Ввести ограничение по времени при предложении возможностей перенаправления (прокси только в рабочее время)
- Добавить логику аутентификации и авторизации прокси на CONNECT/relay.
- Добавить целевое перенаправление мобильных пользователей
- Добавить параметры конфигурации, чтобы определить пользовательские заголовки HTTP, которые должны быть введены, или те, которые будут удалены.
- Добавить параметры конфигурации, чтобы требовать наличия определенных заголовков HTTP в запросах, соответствующих критериям ProxyPass.
- Интерактивный интерфейс, позволяющий вводить простые символы, управляющие подробностью вывода журнала, аналогично Nmap
- Переписать логику парсера профиля на pyMalleableC2. Когда я впервые начал кодить собственную логику парсера, на Github не было такого инструментария.
- Отрефакторить всю кодовую базу
Переведено специально для xss.pro
Автор перевода: yashechka
Источник: https://github.com/mgeeky/RedWarden
