BEST LAB 4 - HackMD

# BEST LAB 4 **Jakub Strykowski 300516** Wybrany botnet to Caldera - pierwszy z listy z tutorialem na YouTube. Był problem z requirements, nie buildowały się z pip3 install requirements ![](https://i.imgur.com/i0qnOAF.png) Próbowałem z flagą --no-depenenties, ale nie pomogło. Instalownie reczne wysypało się na multidict. Jak Python nie może tam Docker pomoże. Ważne, aby ustwawić port forwarding, bo innaczej można się długo zastanawić dlaczego nie działa. ![](https://i.imgur.com/2oX91mA.png) ## Agent Jednostka botnetu w Candera nazywa się agent. ![](https://i.imgur.com/F2pOLQp.png) jest kilka typów agentów. Ja wybieram SandCata jako default. ![](https://i.imgur.com/SvXnvzk.png) Można wybrać gotowy skrypt do wykonania w Konsoli ofiary. Również ważne jest wybranie odpowiedniej nazwy dla agenta, ponieważ ta nazwa będzie widoczna w procesach i może wskazać Blue Teamowi miejsce C2C. ## Localhost Na początek sprawdzam działa na localhost jednocześnie jako ofiara i serwer. Komunikacja z serwerem jest po HTTP. ![](https://i.imgur.com/0nUPG8v.png) możemy sprawdzić czy na ofiarze jest zainstalowany chrome. Dodatkowo jest możliwość wybrania metody obfuscacji: ![](https://i.imgur.com/cDprRFv.png) Caldera sprawdziła czy jest zainstalowny chrome, a poźniej usuneła logi. ![](https://i.imgur.com/WIyd3FI.png) Nie udało się skopiować zawartości schowka, lecz udało się przeskanować system w poszukiwaniu repozytorium githun na komputarze. ![](https://i.imgur.com/DoRXwwA.png) Jednym z zabezpeczeniem botnetu są oznaczenia agetnów trusted, untrusted. ![](https://i.imgur.com/bqFFtBR.png) Jest możliwość zmiany czasy beaconów dla agenta untrusted, aby rzadziej się komunikował. ## Virtualiazacja Serwera C2C Po opanowaniu na laboratorium 2 stawiania VM na Azure, za radą Pana z platformy YouTube stwierdziłem, że najlepiej będzie sterować botnetem z chmury. Oczywiście do instalacji używam (już) Dockera. ![](https://i.imgur.com/mlPREdt.png) Teraz w adresie HTTP podajemy adres VM na AZURE. ### WINDOWS 7 32 bity VM ![](https://i.imgur.com/F7bCRKf.png) Skrypt przygotowany przez Caldera nie działa na Windowsie 7 VM ( IE11 - win 7 32 bity). Również nie działa na Windwosie 10 VM. ### Ubuntu ![](https://i.imgur.com/21tmgA5.png) Skrypt działa w konsoli Ubuntu ![](https://i.imgur.com/FHfHWz5.png) Widzimy w konsoli agenta, którym możemy sterować. ![](https://i.imgur.com/SBXlDMV.png) - jest możliwość zrobienia skanu nmapem z poziomu komputera z botnetu. Oczywiście jak ten komputer ma zainstalowany program nmap. - kopiowanie zawartości schowacha nie działa. Zwracany jest błąd: xclip: not found Na maszynie nie ma zainstalowanego Pythona, ani Google Chrome. ![](https://i.imgur.com/CZhSj0U.png) Po wykonaniu zadania możemy zatrzeć ślady usuwając klienta. ![](https://i.imgur.com/IG4uqYD.png) ![](https://i.imgur.com/rHJbJTf.png) ## Podsumowanie Laboratorium bardzo ciekawe. Problemem było zbuidowanie plików za pomocą pip3 install requirements.txt z powodu dużej ilości zależonści i brak wspierania najnowszych wersji Pythona. Dużym ułatwieniem jest Docker, który po zainstalowaniu bardzo skraca czas potrzebny do zbuildowania aplikacji. Candera jest dość dużym rozwiązaniem z więlką ilością dodatków, na których omównie nie ma miejsca w tak krótkim sprawodzaniu. Jest to dość ciekawe, że wystarczają 3 liniji, aby komputer stał się częścią botnetu. Wiele użytkowników może nie być świadoma, że ich maszyna jest częścią botnetu. Daje to atakującym możliwość wykonowynia ataków za pomocą cudzych komputerów np. scan nmap z komputera, który już jest w sieci firmowej za firewallem, może dać informację o wyglądzie tej sieci; atakaki wykorzystującą dużą liczbę urządzeń jak DoS.