方程式組織DanderSpritz工具測試環境研究

DanderSpritz是NSA泄露的一款著名的界面化遠控工具，由於其功能強大因此也成為了許多安全人員爭相研究的對象。但在實際測試過程中，由於缺少說明文檔，所以問題也層出不窮。而DanderSpritz lab就是為了解決這些問題而被開發出來的。DanderSpritz lab能夠讓安全研究人員輕鬆構建和配置功能齊全的DanderSpritz實驗環境，以進行相關的逆向及研究測試工作。

關於DanderSpritz lab的介紹可以閱讀這篇文章：https://medium.com/@francisck/introducing-danderspritz-lab-461912313d7c

以及我為DanderSpritz創建的文檔網站：https://danderspritz.com

警告：本實驗環境未執行任何形式的安全加固，並以默認的vagrant憑據運行。因此，請不要將該實驗環境連接/橋接到任何重要的網路當中！

安裝環境及軟體版本要求：

20GB以上的可用磁碟空間

8GB以上的內存

20GB帶寬使用（下載ISO，更新，服務包等）

Packer v1.2.3或更高版本

Vagrant v2.1.1或更高版本

Vagrant-Reload插件

Virtualbox（VMWare Fusion/Workstation）

啟動DanderSpritz Lab

DanderSpritz使用Packer，Vagrant和Vagrant-reload插件來安裝和配置實驗環境。Packer將直接從Microsoft下載Windows ISO並安裝該軟體的試用版，以供後續的研究測試使用。

2.確保你已安裝Vagrant-reload插件 vagrant plugin install vagrant-reload

3.運行packer build danderspritz_lab.json命令，下載ISO並構建Vagrant box

4.Vagrant box構建完成後，啟動虛擬機：vagrant up

創建一個FuzzBunch項目

1.啟動cmd並執行命令：D:python fb.py

2.設置默認target地址192.168.40.3

3.設置默認callback地址192.168.40.4

4.不要使用重定向（起初）

5.保留默認日誌目錄

6.創建一個新項目（選項0）

7.為新項目命名

8.保留默認日誌目錄

目標利用

1.使用EternalBlue利用目標機器：use eternalblue

2.選擇所有選項為默認，除傳輸機制外(delivery mechanism)。使用「FB」（傳統部署）作為傳輸機制。

3.一旦eternalblue利用成功，配置danderspritz和peddlecheap

配置並啟動DanderSpritz

1.另外啟動一個cmd並執行命令：D:python configure_lp

2.允許Java通過防火牆

3.選擇」Log directory」 旁的browse，並選擇你創建的FuzzBunch項目名稱

4.點擊」go」

PeddleCheap準備（配置implant）

1.在DanderSpritz控制台中，執行命令：pc_prep

2.選擇standard x64-winnt level 3 sharedlib payload 5

3.不要選擇高級設置

4.選擇執行立即回調（immediate callback）

5.使用默認的PC ID (0)

6.選擇」Yes」

7.不要更改偵聽埠

8.保留默認的 「callback」 地址（127.0.0.1）

9.不要更改exe名稱

10.使用默認key（選項2）

11.驗證PeddleCheap配置是否有效

12.不要使用FC (felonycrowbar)進行配置

13.複製配置的二進位文件的位置：

通過DoublePulsar後門傳輸implant (peddlecheap)

1.在Fuzzbunch窗口中輸入命令：use doublepulsar

2.當詢問你是否希望變數設置提示時選擇 「yes」

3.選擇所有變數設置為默認，除目標架構外（選項1）1) x64 x64 64-bits

4.選擇「RunDLL」（選項2）2）RunDLL使用APC將DLL注入用戶模式進程

5.當詢問你是否需要執行插件時，將所有其他選項保留為默認值並選擇」Yes」

6.你應該能看到 「Doublepulsar succeeded」的提示

使用DanderSpritz連接PeddleCheap implant

1.在DanderSpritz界面的最上方選擇「PeddleCheap」

2.從key下拉菜單中選擇 「default」 key

3.輸入目標機器地址（192.168.40.3）

4.選擇 「Connect to target」

5.選擇你的Fuzzbunch項目名稱

6.等待DanderSpritz Survey完成（這裡可能需要等待一段時間）

Vagrant基本使用命令

Bring up所有的DanderSprotz Lab主機：vagrant up

Bring up一個特定主機：vagrant up

重啟特定主機：vagrant reload

重啟特定主機並重新運行provision進程：vagrant reload—provision

銷毀特定主機：vagrant destroy

銷毀整個Danderspritz Lab環境：vagrant destroy

客戶機快照：vagrant snapshot save

恢復快照：vagrant snapshot restore

主機狀態檢查：vagrant status

暫停實驗室環境：vagrant suspend

恢復實驗室環境：vagrant resume

許可證過期

在許可證即將過期時，你可以通過在具有管理員許可權的命令提示符中用rearm命令後重啟電腦。根據微軟官方文檔中的聲明，該命令最多可以重複使用三次，即最多可以再獲得90天的windows使用許可。

Lab信息

Lab圖示

Lab相關信息

域名：windomain.local

管理員登錄（所有機器）：vagrant:vagrant

DC（域控制器）：192.168.40.2/24

目標：192.168.40.3/24

DanderSpritz：192.168.40.4/24

Lab主機

DC - Windows 2008 R2域控制器

用於Windomain.local的Windows域控制器

WEF Server Configuration GPO

Enhanced Auditing GPO

PowerShell logging GPO

目標 - Windows 7 Workstation

模擬目標 workstation / machine

加入Windomain.local Windows AD域

預安裝了一些逆向/可視化工具

Chocolatey包管理工具，可用於進一步的工具安裝

DanderSpritz Box - Windows 10

DanderSprirtz & Fuzzbunch 預安裝

目標上安裝的工具（Windows 7 SP1）

Sysmon

Sysinternal Tools (Procmon, TCPview, etc)

API Monitor

InfoPe

HxD

PEView

Windbg

WireShark

Binary Ninja

HashCalc

IDA 7 Free

Ollydbg

Enhanced Auditing GPO

PowerShell logging GPO

Windows事件轉發到域控制器(WEC)

*參考來源：GitHub，FB小編 secist 編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！