【基础篇】————21、隐匿攻击之JavaScript

有一些命令和控制工具可以使用各种fof方法来隐藏恶意流量或以各种格式执行植入。Casey Smith最初开发了一个原型工具，它使用JavaScript作为有效载荷，并连接回监听Web服务器。一位安全研究人员3gstudent扩展了Casey Smith的工作，并在PowerShell中开发了JSRat，它提供了一些额外的功能。此工具的其他变体存在于Python中，因此主控主机可以是Linux机器或Windows。类似地，可以生成JavaScript植入物的另一个C2工具称为Nettitude的PoshC2。

JSRat是一个命令和控制工具，它使用JavaScript有效负载和HTTP协议进行服务器和目标主机之间的通信。Python中有两个实现，PowerShell中有一个实现，其用法如下所述：

Python

JSRat的python实现将启动一个Web服务器，它将等待执行客户端命令：

python MyJSRat.py -i 192.168.1.203 -p 8080

用户访问客户端命令URL后，将与主机建立连接。JSRat可用于执行命令，运行可执行文件和脚本，或仅用于数据泄露。

为了建立适当的shell，需要执行JavaScript有效负载。此有效负载存储在以下URL中：

已生成的命令需要从命令提示符执行。

执行命令后，将收到一个shell。

可以像往常一样从shell执行命令。

JSRat还可以读取，下载或上传文件。

此工具还有另一个python实现，它提供了AppLocker旁路的方法（regsvr32）。

JSRat将生成并托管一个包含有效负载的scriptlet文件。

PowerShell

另外，还有一个这个JSRat的PowerShell实现，它可以从PowerShell控制台执行相同的操作。在执行任务之前，需要使用侦听器的IP地址修改脚本。

需要在目标上执行的payload命令也包含在脚本的注释中。

运行payload命令将连接目标主机，并将获得控制台。

命令可以像任何其他正常的命令提示一样在目标上执行。

结论

该命令和控制工具的主要优点是它不需要将任何植入物写入磁盘。它非常快，所有通信都是通过HTTP完成的，这是一种常见的协议。由于JSRat使用JavaScript有效负载，因此除非监视rundll32，否则检测很困难。启用和配置AppLocker以拒绝执行rundll32和regsvr32将防止攻击。

资源

• https://github.com/aspiggy/JSRAT
• https://github.com/Ridter/MyJSRat
• https://github.com/Hood3dRob1n/JSRat-Py
• https://github.com/3gstudent/Javascript-Backdoor