4.1、概述
4.2、器管理
接下来,点击“ADD”添加新的器。这将显示一个名为“New Listener”的面板。
在该面板中,使用Payload下拉菜单选择需要配置的payload/listener类型。每种类型都有自己独特的参数,这些参数将在后续章节中详细介绍。
要编辑器,只需选中一个器,然后点击“Edit”。若要删除器,点击“Remove”。
Beacon非常灵活,支持异步和交互式通信。在异步模式下,通信较慢,Beacon会回连到服务器,下载任务,然后休眠。而在交互式通信模式下,通信是实时的。
4.3.1、系统调用
Beacon payload实现了使用系统调用而非标准Windows API函数的功能。目前,Beacon仅支持有限的函数集来实现这一功能。
以下函数支持系统调用的使用:
CloseHandle、CreateFileMapping、CreateRemoteThread、CreateThread、GetThreadContext、MapViewOfFile、OpenProcess、OpenThread、ResumeThread、SetThreadContext、UnmapViewOfFile、VirtualAlloc、VirtualAllocEx、VirtualFree、VirtualProtect、VirtualProtectEx、VirtualQuery等。
系统调用方法主要有以下几种:
1. None:使用标准Windows API函数。
2. Direct:使用Nt版本的函数。
3. Indirect:跳转到Nt版本函数中的相应指令。
有些注入或生成新Beacon的命令和工作流程不允许设置初始系统调用方法。在这种情况下,可以在配置文件中设置stage.syscall_method来允许控制执行时使用的初始方法。具体的配置文件设置将在后续章节中介绍。
4.3.2、Payload安全特性
为了确保团队服务器能够发布任务和接收输出,Beacon必须始终发送会话元数据。该元数据包含由该Beacon生成的随机会话密钥。团队服务器使用每个Beacon的会话密钥来加密任务和解密输出。
每个Beacon实现和数据通道都使用相同的方案。HTTP和DNS混合Beacon中A记录数据通道的安全性与HTTPS Beacon相同。
请注意,一旦payload stage被执行,上述安全措施就会生效。由于payload stagers体积较小,没有内置的安全功能,因此不受上述安全措施的保护。
4.4、Payload Staging
关于Payload Staging(分阶段载荷),这是一个值得注意的背景信息主题。许多攻击框架都将攻击与攻击执行的内容分开。攻击执行的内容称为payload。Payload通常分为两部分:payload stage和payload stager。Stager是一个小程序,通常是手工优化的汇编指令,用于下载payload stager,将其注入内存,并将执行命令传递给它。这个过程称为staging(分阶段)。
