Tìm Hiểu Về Havoc C2 Framework

Trong giới an ninh mạng, các công cụ Command & Control (C2) nổi tiếng như Cobalt Strike, Brute Ratel và Metasploit Pro đã trở thành những tên tuổi lớn. Tuy nhiên, sự phổ biến của chúng cũng đồng nghĩa với việc thường xuyên bị các phần mềm bảo mật nhắm đến, tạo ra nhiều cản trở trong quá trình tấn công. Bên cạnh đó, chi phí sử dụng những công cụ này cũng khá cao, khiến cho việc tiếp cận trở nên khó khăn. Trong bối cảnh đó, Havoc Framework ra đời như một sự lựa chọn thú vị với nhiều tính năng mạnh mẽ và hoàn toàn miễn phí.

1. Giới Thiệu Về Havoc Framework

Havoc Framework được giới thiệu lần đầu vào tháng 10 năm 2022 bởi C5pider. Với khả năng vượt qua Windows Defender một cách ấn tượng, công cụ này không chỉ linh hoạt mà còn hỗ trợ nhiều nguồn dữ liệu phong phú. Chính vì vậy, Havoc đã nhanh chóng trở thành một công cụ hỗ trợ đắc lực cho các nhóm APT (như Machete, machete-apt, APT-C-43, G0095).

2. Hướng Dẫn Cài Đặt Havoc Framework

Giống như Cobalt Strike, Havoc Framework sử dụng mô hình client-server để hoạt động. Dưới đây là các bước cài đặt:

Bước 1: Cài Đặt Gói Phụ Thuộc

Mở terminal và nhập lệnh sau:

sudo apt install -y git build-essential apt-utils cmake libfontconfig1 libglu1-mesa-dev libgtest-dev libspdlog-dev libboost-all-dev libncurses5-dev libgdbm-dev libssl-dev libreadline-dev libffi-dev libsqlite3-dev libbz2-dev mesa-common-dev qtbase5-dev qtchooser qt5-qmake qtbase5-dev-tools libqt5websockets5 libqt5websockets5-dev qtdeclarative5-dev golang-go qtbase5-dev libqt5websockets5-dev libspdlog-dev python3-dev libboost-all-dev mingw-w64 nasm

Bước 2: Xây Dựng Havoc Client

Chạy các lệnh sau:

git clone https://github.com/HavocFramework/Havoc.git
make client-build

Khi biên dịch hoàn tất, khởi chạy Havoc client bằng lệnh:

./havoc client

Bước 3: Xây Dựng Havoc Teamserver

Cài đặt các gói phụ thuộc:

go mod download golang.org/x/sys  
go mod download github.com/ugorji/go

Tiếp theo, biên dịch TeamServer:

make ts-build

3. Cấu Hình Havoc Framework

3.1. Cấu Hình Teamserver

Tương tự như Cobalt Strike, Havoc Framework sử dụng Profiles để cấu hình C2. Tệp cấu hình mặc định có tên "Havoc/Teamserver/profiles/havocdefault.yaotl" với ngôn ngữ HCL. Nội dung cấu hình bao gồm:

• Teamserver: Địa chỉ Host/Port của máy chủ Hacker.
• Operators: Chỉ định tên người dùng và mật khẩu để đăng nhập Teamserver.
• Demon: Cấu hình thông số cho mã độc thực thi trên máy nạn nhân.
• Listeners: Cấu hình thông số lắng nghe trên máy Hacker với phương thức HTTP và HTTPS.

3.2. Cấu Hình Client

Để khởi chạy Havoc Client:

cd Havoc
./havoc client

Kết nối với TeamServer bằng cách nhập các thông số: Name, Host, Port, Username, Password tương ứng.

4. Thiết Lập Môi Trường

Tạo môi trường với hai máy chủ:

• Máy chủ Kali Linux chạy Havoc Framework (Hacker).
• Máy chủ Windows 10 Pro làm máy tính nạn nhân (Victim).

4.1. Tạo Một Listener

Thực hiện theo các bước sau để tạo một kết nối mới:

1. Mở chức năng "View" > "Listeners".
2. Ấn "Add" và điền thông tin cần thiết như Name, Payload, Host (Bind), Port, User Agent.
3. Lưu lại bằng cách ấn "Save".

4.2. Tạo Mã Độc Hại (Demon)

Truy cập "Attack" > "Payload" > "Generate" và nhập các thông số như Listener, Arch, Format, Amsi/Etw Patch.

4.3. Khởi Chạy Trên Môi Trường Thực Tế

Sau khi mã độc được chạy trên máy tính nạn nhân, giao diện sẽ hiển thị thông tin chi tiết về Listener và nhiều chức năng tương tác khác. Để chạy lệnh, chỉ cần click chuột phải vào "ID" và chọn "Interact".

Bên cạnh đó, bạn cũng có thể thêm các extension hỗ trợ tấn công từ menu "Attack" > "Extension" > "Install".

Để tìm hiểu thêm về cách vượt qua Windows Defender, bạn có thể tham khảo các video hướng dẫn chi tiết.
source: viblo