嚴正聲明:本項目僅供教育目的使用,請不要將其用於非法目的。
前言
大家沒看錯!現在,又有一個殭屍網絡開源了自己的,這個殭屍網絡就是BYOB!
BYOB(搭建你自己的殭屍網絡)
BYOB是一個開源項目,該項目給研究人員和開發者提供了一個能夠搭建和操作基礎殭屍網絡的框架。大家都知道,殭屍網絡每年都會感染數百萬臺聯網設備,爲了研究現代殭屍網絡的威脅能力和應對方案,大家可以根據各自對複雜惡意軟件的理解,基於該框架來研究現代殭屍網絡。
在該框架的幫助下,開發人員可以輕鬆實現自己的代碼並添加新的工具和功能,整個過程無需自己從零編寫RAT或C2服務器。
注:RAT的核心功能是在目標主機內存中加載C2託管的任意代碼/文件,並在無需觸碰目標磁盤的情況下執行惡意代碼。
客戶端
該框架能夠生成無法被檢測到的Payload以及不受限制的後滲透模塊。
1、 遠程導入:從服務器端遠程導入第三方數據包,而無需將其寫入目標磁盤或下載安裝。
2、 無需觸碰磁盤:客戶端不會向目標磁盤寫入任何數據,包括臨時文件在內。因爲遠程導入的任意代碼是在目標內存中動態加載的,並直接導入進當前運行的進程中。
3、 無需依賴組件:客戶端運行的是Python標準庫,並會從遠程服務器動態導入第三方非標準庫,然後通過標準Python編譯器進行代碼編譯,所以無需安裝其他依賴組件。
4、 一鍵添加新功能:只要你的C2服務器處於運行狀態,任何你拷貝到./byob/modules/目錄的Python腳本、模塊或數據包都可以自動導入到每一個遠程客戶端上。
5、 開發自己的模塊:目錄./byob/modules/中已經提供了一份基礎的模塊模版,大家可以根據自己的需要來自定義修改。
6、 完全可升級:每一個客戶端都會定期檢查服務器是否推送了新版本。
7、 平臺依賴:所有的功能都是用Python編寫的,客戶端可以根據自己所在的平臺來編譯出可執行程序(Windows或macOS)。
8、 繞過防火牆:客戶端通過反向TCP連接來與C2服務器通信,這樣可以繞過大多數防火牆。
9、 防逆向分析:默認配置下,如果檢測到了虛擬機或沙盒環境,客戶端會放棄執行。
10、Payload加密:主要的客戶端Payload採用了一個256位隨機密鑰來進行加密。
模塊化
客戶端可以遠程導入後滲透模塊。
1、 鍵盤記錄(byob.modules.keylogger):記錄目標用戶的擊鍵信息。
2、 屏幕截圖(byob.modules.screenshot):獲取目標用戶屏幕截圖。
3、 攝像頭(byob.modules.webcam):查看攝像頭實時畫面/視頻。
4、 勒索(byob.modules.ransom):加密文件,並勒索比特幣。
5、 Outlook(byob.modules.outlook):從本地Outlook賬號讀取、搜索和加載郵件信息。
6、 數據包嗅探(byob.modules.packetsniffer):嗅探主機網絡的數據包或上傳.pcap文件。
7、 持續感染(byob.modules.persistence):使用了5種不同的方法實現主機的持續感染。
8、 智能手機(byob.modules.phone):從目標手機中讀取、搜索和上傳文字消息。
9、 提權(byob.modules.portscanner):嘗試繞過UAC並實現管理員提權。
10、端口掃描(byob.modules.process):掃描本地網絡的開放端口。
11、進程控制(byob.modules.icloud):枚舉、監控和終止目標主機的運行進程。
12、iCloud(byob.modules.spreader):探測macOS主機登錄的iCloud賬號。
服務器端
遠程命令控制服務器提供了數據庫和命令控制檯。
1、 基於命令行的用戶接口:命令行接口可以通過反向TCPShell訪問和控制目標主機。
2、 SQLite數據庫:輕量級數據庫用於存儲客戶端主機的識別信息。
3、 客戶端-服務器架構:所有的Python包和模塊都可以通過服務器來讓客戶端自動加載。
核心
生成器和服務器端使用了下列核心框架模塊:
1、 Utilities (byob.core.util): 提供了很多實用函數。
2、 Security (byob.core.security):Diffie-Hellman IKE(AES-256-OCB, AES-256-CBC, XOR-128)。
3、 Loaders (byob.core.loaders):從服務器端遠程導入數據包、模塊和腳本。
4、 Payloads (byob.core.payloads):通過反向TCPshell遠程導入依賴組件、數據包和模塊。
5、 Stagers (byob.core.stagers): 生成唯一的Payload以避免安全分析和檢測。
6、 Generators(byob.core.generators): 動態生成功能代碼。
7、 Database (byob.core.database):處理C2服務器和SQLite數據庫之間的交互。
8、 Handler (byob.core.handler):HTTP POST請求處理器,負責處理遠程文件上傳。
項目地址
GitHub:【傳送門】
* 參考來源:byob,FB小編Alpha_h4ck編譯,轉載請註明來自FreeBuf.COM