许多企业使用DropBox作为他们的共享和数据托管工具。因此,流向DropBox服务器的流量通常受到限制或被归类为恶意域。但是DropBox的功能可能会被一些恶意用户利用,将其用作C&C服务器。这可以通过名为DropBoxC2的工具实现,该工具使用DropBoxAPI与之通信,并且由于它完全在内存中运行并且流量是加密的,因此很难检测到。DropboxC2控制器安装gitclonehttps://github.com/Arno0x/DBC2dbc2cddbc2pipinstall-rrequirements.txtchmod+xdropboxC2.py因为两者之间的通信是通过DropBoxAPI实现的,所以我们首先需要新建一个应用来生成APIkey。为了避免后续使用的麻烦,我们直接在config.py文件中输入API密钥(defaultAccessToken参数)。这样就不用每次启动DBC2都重复插入key了。当DropBoxC2运行时,用户需要选择一个主密码,用于加密代理和控制器之间的所有数据。Modules和Stage在使用前需要在DropBox上发布:publishStagedbc2_agent.exe会在DropBox上生成一个文件,通过异或加密。DropBoxC2可以生成各种各样的stager,从简单的.bat文件到msbuild和sct文件,并且可以绕过AppLocker。从橡皮鸭到宏观,红队被赋予了多种能力使用场景。使用以下命令生成stager:genStageronelinerdefaultgenStagerbatchdefault从那一刻开始,stager将在目标主机上执行,启动beacon并生成A??gentID值并与beacon(信标)关联。在DropBox上将生成两个文件,它们将声明代理的状态和传递给目标的命令。这些文件的内容经过加密以维护通信的机密性。然后我们可以使用代理ID与目标交互并执行命令。DropBoxC2还具有传输文件、通过交互式shell执行PowerShell命令以及从目标主机截取屏幕截图的能力。它还支持键盘记录器功能。使用的一些命令是:sendFilegetFileshellscreenshot此外,各种PowerShell模块可用于执行其他任务,例如获取反向shell、转储密码哈希或从内存中检索明文密码。或者,您可以选择使用另一个工具(DropBoxC2C),它也可以将DropBox用作C&C服务器。但它更简单,并且不提供DBC2的功能。
