LE SECRET DE L'ANONYMAT DES HACKERS
Вставка
- Опубліковано 4 жов 2024
- Vidéo en français sur l'infrastructure couramment utilisée par les groupes d'attaquants avancés, grâce à un serveur de contrôle Cobalt Strike et un serveur frontal servant de redirecteur.
Les démonstrations ont été réalisés sur un environnement Azure dédié à cet effet.
Attention, le piratage est un délit.
L'ensemble des démonstrations inclues dans cette vidéo ont été effectuées dans un laboratoire dédiée à cet usage. Cette vidéo n'a pas vocation à encourager le hacking en dehors d'un cadre légal.
-------------------------------------------------------------------
Le lien de mon blog :
processus.site
Le lien pour rejoindre le serveur Discord :
/ discord
#hacking #ransomware #virus
Comme d'hab, explications simples et efficace. Merci ! Par contre la veste violette m'a fait direct penser au Joker 😁(je ne sais pas pourquoi) Avec un peu de rouge a lèvres et un chapeau et bim le jocker nous fait de la sécu 😉
Merci pour ces informations! On attends une video avec un C2 discord/telegram!
Pour ceux qui trouvent Cobalt Strike trop chere, il y a Havoc, Armitage, et plein d'autres...
Yes carrément ! C’est pas ce qui manque 😅 Sliver, Empire, Covenant pour les beginners…
Franchement magnifique, merci de faire ce contenu. Bonne continuation
Merci pour ce contenu et tous les autres ! C'est aussi instructif que clair.
Super le costume, vraiment classe
Merci Processus pour cette vidéo. 🙏😊
merci bcp pour cette video instructive et essentielle
Excellent !
Bonjour, effectivement le serveur frontal peut être déployé et détruit assez rapidement via une instance EC2 sur AWS par exemple. Mais il sera de toute manière possible pour les enquêteurs de demander à AWS qui a loué un serveur sous cette IP à telle heure non ?
Possible mais la plupart utilisent des hébergeurs peu regardant sur la législation et payent en crypto monnaies ^^
ces demandes sont rarement faites car sont compliquées à justifier
Tu gères !
Salut, les explications sont nickels par contre tu feras gaffe l’ip que tu mets dans « http host(s) » ne correspond pas à l’ip d’écoute mais à l’adresse à laquelle les beacons vont se connecter au team server. Autrement dit, ici tu ne passais absolument pas par ton redirecteur (pour les tasks et les outputs) mais direct par ton réseau local et tu peux le vérifier sur wireshark et sur la console cs dans « external ip » (Après external ip peut être incorrecte dans certains cas avec des redirecteurs ce qui nécessite d’ajouter des entêtes X-Forwarded-For ou similaire)
L’idée était quand même la avec l’ip que t’as mis dans « http host(s) stager » qui correspond à l’adresse sur laquelle aller chercher un stager pour les beacons générés avec le mode associé. En revanche cette adresse de stager n’est en aucun cas utilisée pour la communication des tasks et des outputs du c2 donc tout au plus t’as une ou deux requêtes à l’initialisation du beacon qui sont faites en passant par ton redirecteur dans la vidéo si jamais t’as généré ton beacon en mode stager.
Dans ce cas sur le poste de la victime on devrait retrouver des trames avec l’adresse ip externe du c2, et ça n’est pas le cas 😉 l’adresse ip du c2 spécifiée est son ip interne pour désigner l’interface sur laquelle il doit écouter les connexions, ensuite l’adresse ip publique spécifiée est bien celle du redirecteurs pour que le beacon communique via ce serveur plutôt que le c2 😉
@@processusthief J'insiste sur le fait que je suis totalement d'accord avec toute la théorie que tu évoques. En revanche, dans la vidéo, tu as configuré ton listener de telle sorte que ton beacon communique avec ton c2 via l'ip 10.0.0.4 si ma mémoire est bonne, donc sur ton réseau privé. Tu peux vérifier ca en regardant le wireshark avec des connexions tls de 10.0.0.5 vers 10.0.0.4 ou l'inverse.
Pour que ton beacon communique réellement via ton redirecteur tu aurais du mettre l'ip / le nom de domaine de ton redirecteur dans la liste "http host(s)". Dans la démo ton beacon ne passe par le redirecteur que pour aller chercher le stager initial.
excellent !!
Hi proc super vidéo mais si le serveur front peut être jetable comment l'attaquant effectue t'il sa persistance sur le réseau cible ??
Il peut passer par un nom de domaine et il change les enregistrements dns pour rediriger vers un nouveau serveur temporaire 😉
Il y a quelque année, j avais déjà réussit a émettre de la musique depuis un satellite, d hailleurs en Israël il on parlait d une manifestation des cieux. Actuellement ce satellite en question commence a rentrer dans le réseau, pour faire évoluer la machine. 🙂
On a un avantage par rapport a beaucoup de ingénieurs, c est qu on peut rentrer dans le réseau en dormants, pour modifier les structures informatiques, ou même créé des ordinateurs virtuels en astral. 🙂
Woww c’est pour moi comme de la fiction tout ce qui tourne au tour des satellites 🥺. Je suis encore débutant dans le domaine et j’espère un jour atteindre ce level là. Sinon merci ça encourage 💪🏾
C'est clairement effrayant
Merci Proc.
J'ai un problème, je n'arrive pas à accéder à votre serveur discord
*Censys* tape dans ton Serveur Frontal surement Shodan aussi voir dans le log apache J'espere le self-signed certificate de CS est pas utilisé
Nope c’est de l’auto signé 😉
Top video pas tout compris a 100% mais tres interesting
j'ai pas tout a fait compris comment tu fait ta redirection, tu te co en ssh sur le frontal, et tu transfert tout ce qui passe par 8443 sur ta machine et invercement?
Oui c’est ça, tu peux établir un tunnel SSH depuis le serveur de contrôle pour rediriger, un port du serveur frontal vers le listener du serveur de contrôle 😉
Reverse port forwarding via Tunnel SSH depuis le Teamserveur "ssh -f -N -R" ( -f: Run in the background.
-N: Do not execute any commands
quel est la difference entre tout ce bazar et un vpn?
Un vpn c’est généralement utilisé par une personne sur son poste de travail, soit pour accéder au réseau de son entreprise, soit pour chiffrer ses connexions sur le réseau sur lequel elle est connectée. La le sujet traite du redirecteur pour masquer le serveur de contrôle, c’est pas tout à fait pareil 😉 c’est un peu le même principe mais dans l’autre sens (grosso modo)
@@processusthief je ne sais pas pourquoi mais j'ai une sensation que c'est seulement une publicité subliminale; sauf bien sure pour l'ip google.
"en espérant garder mon compte"
-j'esperais que ce soit vrais- ⏱
donc au lieu d'un normal MITM. le MITM est un relai vers le hacker
come pour l'iptv je regarde bein a travers un server. ou meme deux servers relais donc bein ne peut jamais savoir qui regarde ses transmission piratés sauf s'il hack ce relai ou ces deux servers relais
Gars, ta lampe frontale est trop forte, tu es trop blanc x)
Sinon, merci bcp, c'est génial !!
Yes j’ai essayé de jouer avec les couleurs au montage mais si je baisse les light le détourage du fond vert est moins propre 😕
@@processusthief Haaa, ok ! En tout cas, je te suis depuis le début, et je t'ai vu à leHack, t'as un parcours époustouiflant
Est ce que tu peux faire un tuto pour hacker le facebook de ma belle mère stp ?
Pas possible sinon la mienne va savoir comment j’ai fais 😂
rolala ce genre de commentaires... J'espere que c'est du troll
Les serveurs frontal 😁🤭😘
😂😂😂
Le plus beau c'est quand ta backdoor est inclue dans les backup de ta cible ahahhahahahhahahahahahahaha
A 6:34 Processus baisse le slip !
😂😂😂
Bonjour Processus, je n'ai pas compris ce que tu as dit à la fin de ta vidéo concernant le chaining sur virustotal / discord / google drive , peux-tu nous en dire un peu plus sur l'utilisation de ces plateformes en tant que redirecteur ?
Yes, en gros les échanges entre le C2 et la victime passe par l'une des plateformes nommées, par exemple virustotal : github.com/RATandC2/VirusTotalC2
ou encore discord ici : medium.com/@lsecqt/using-discord-as-command-and-control-c2-with-python-and-nuitka-8fdced161fdd
Je plussoie, pas compris non plus !
@@processusthief merci beaucoup pour ta réponse je ne savais pas que les attaquants pouvaient passer par ces plateformes !
Comment arrive on a toutes ces connaissances ? Dans le sens ou je trouve cela vraiment intéressant mais comme je débute en IT je comprends pas grand chose dans les commandes et script utilisé et c’est hyper frustrant, par ou commencer ?