GoClipC2: скрытый канал связи для обхода сетевого мониторинга в VDI и RDP

GoClipC2: новая платформа управления C2 с использованием буфера обмена Windows

В условиях роста сложностей в обеспечении кибербезопасности, особенно в виртуализированных средах, критически важно разрабатывать новые методы скрытого управления и обмена информацией. Платформа GoClipC2 представляет собой инновационное решение, использующее буфер обмена Windows в качестве канала связи в средах VDI (виртуальные рабочие столы) и RDP (протокол удалённого рабочего стола). Этот инструмент способен эффективно обходить традиционные механизмы сетевого мониторинга, обеспечивая при этом широкие возможности командного управления и эксфильтрации данных.

Особенности и принципы работы GoClipC2

GoClipC2 создан на базе уже известных библиотек и концепций, таких как Invoke-Clipboard, но существенно расширяет их потенциал за счёт использования языка программирования Go. Основные характеристики платформы включают:

• Использование буфера обмена Windows как скрытого канала связи, что позволяет избегать классических сетевых логов и мониторинга.
• Шифрование сообщений и кодировка в Base64, обеспечивающая безопасность передаваемой информации.
• Совместимость с широким спектром версий Windows — от XP до Windows 10/11.
• Решение проблем, связанных с ограничениями UAC, которые препятствуют взаимодействию между приложениями с разным уровнем привилегий.
• Реализация клиент-серверной архитектуры — сервер развёртывается на управляющей машине, а клиентский компонент устанавливается на целевых узлах VDI или RDP.

Технические детали и возможности платформы

Механизм работы GoClipC2 основан на наблюдении за изменениями в буфере обмена с регулярными интервалами (около 500 миллисекунд), что обеспечивает своевременное выполнение команд и пересылку данных. Поддерживаются следующие ключевые типы сообщений:

• MSG_COMMAND — отправка команд на выполнение.
• MSG_RESPONSE — получение результатов выполнения.
• MSG_FILE_CHUNK и MSG_FILE_COMPLETE — передача файлов по частям с контролем целостности.

Чтобы снизить шансы обнаружения, сообщения маскируются под системную вредоносную активность с помощью префикса SYUPD. Это существенно усложняет задачу выявления C2-трафика через буфер обмена при случайном мониторинге с использованием стандартных средств безопасности.

Безопасность и мониторинг активности

GoClipC2 имеет встроенные механизмы обнаружения потенциально опасных действий, что повышает безопасность эксплуатации платформы:

• Отслеживание выполнения скрытых процессов и запуск дочерних процессов, связанных с PowerShell или cmd.exe.
• Мониторинг разведывательных действий через взаимодействие с буфером обмена.
• Выявление попыток повышения привилегий, ключевых для предотвращения эскалации атак.

Перспективы развития

В планах дальнейшего развития GoClipC2 — добавление возможностей для выполнения команд непосредственно в целевом процессе (in-process execution), а также улучшение методов обфускации. Особое внимание планируется уделить снижению зависимости от запуска дочерних процессов за счёт использования расширенных возможностей языка Go. Это позволит сделать платформу ещё более скрытой и усложнить детектирование современными средствами безопасности.

GoClipC2 демонстрирует, что даже такие, на первый взгляд, привычные системные функции, как буфер обмена, могут стать эффективным средством для скрытого управления и передачи данных в рамках сложных IT-инфраструктур.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.