利用heroku隐藏C2服务器

C2科普

命令与控制（C2）是指在单个或一组目标受害者主机上建立和维持对植入工具的控制的过程。C2 框架通常提供借助某个通信协议与植入工具进行通信的能力，向受害者系统发出命令，并且在 C2 服务器上接收这些命令的输出，使攻击者实现物理访问或直接的虚拟访问。

隐藏C2技术

域前置 CDN 重定向 是当前流行的三种隐藏C2的技术. Shanfenglan7 在其文章 利用CDN、域前置、重定向三种技术隐藏C2的区别 中进行了非常细致的说明,笔者在实际测试三种技术发现,每种技术都有一些不足.

CDN隐藏C2

使用CDN隐藏C2的准备工作大致如下

需要购买域名 (可以通过https://www.freenom.com/使用免费的)
需要购买CDN服务 (可以使用免费的https://www.cloudflare.com/)
需要在CDN服务商处修改DNS记录
需要等待DNS记录生效(如果你的域名绑定过其他IP,这个操作需要几个小时)
可以看到,虽然通过组合免费服务可以实现零成本,但是实现过程中需要进行很多配置操作,时间成本及心智成本过高.如果域名不是匿名注册,还有被追踪溯源的风险.

域前置隐藏C2

使用域前置隐藏C2的准备工作大致如下

需要购买域名 (可以通过https://www.freenom.com/使用免费的)
需要购买CDN服务 (可以使用免费的https://www.cloudflare.com/)
需要在CDN服务商处修改DNS记录
需要等待DNS记录生效(如果你的域名绑定过其他IP,这个操作需要几个小时)
需要知道cdn上的其他高信誉域名或者ip
需要修改malleable profile文件
域前置相对于CDN还要进行更多的额外操作,而且当前主流CDN服务商都已经开始屏蔽域前置技术.

重定向隐藏C2

使用重定向隐藏C2的准备工作大致如下

需要两台VPS
使用apache或者nginx配置重定向转发
需要修改malleable profile文件
重定向需要进行一些额外的编码及部署工作,而且还需要将一台VPS的IP地址暴露给 威胁情报 ,可能被溯源,其实并没有实现隐藏C2的目标.

总结

heroku隐藏C2从技术原理上看非常简单,使用heroku服务部署nginx反向代理服务,payload连接heroku的nginx,nginx将流量转发到C2.具体优势如下:

只需要注册heroku免费账号即可
无需注册或购买域名
自带可信的SSL证书(heroku域名自带证书)
如果IP地址被封锁,可删除原有heroku app重新部署heroku app(大约需要30s),与防守人员持续对抗
操作步骤简单