Listener de liaison TCP¶
L'listener de liaison TCP fournit un transport TCP brut pour le pivotement de beacon peer-to-peer. Contrairement aux canaux nommés SMB qui nécessitent SMB (port 445), les listeners de liaison TCP fonctionnent sur des ports TCP arbitraires, ce qui les rend utiles dans les environnements où SMB est filtré mais où les ports TCP personnalisés sont accessibles.
ATTAQUE À ONGLET&CK
Le pivotement de la liaison TCP correspond à T1572 - Protocol Tunneling.
Configuration¶
| Champ | Type | Obligatoire | Par défaut | Description |
|---|---|---|---|---|
name | chaîne | Oui | -- | Nom d'affichage pour le listener |
type | chaîne | Oui | -- | Doit être "tcp_bind" |
relay_id | UUID | Oui | -- | Relais hébergeant le listener |
port | int | Oui | -- | Port TCP à lier |
guardrails | objet | Non | -- | Règles de filtrage des beacons (nom d'hôte, IP, modèles de nom d'utilisateur) |
Créer un listener de liaison TCP¶
curl -s -X POST https://stentor.app/api/v1/listeners \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" \
-d '{
"name": "TCP Pivot",
"type": "tcp_bind",
"port": 4444,
"relay_id": "RELAY_UUID"
}'
Protocole filaire P2P¶
La liaison TCP utilise un protocole filaire binaire pour la communication par beacon :
| Type de message | ID | Direction | Description |
|---|---|---|---|
P2PCheckin | 1 | Beacon → Relais | Battement de coeur de beacon / enregistrement |
P2PCheckinResp | 2 | Relais → Beacon | Réponse relais avec ID de beacon |
P2PGetTask | 3 | Beacon → Relais | Demander des tâches en attente |
P2PTaskResp | 4 | Relais → Beacon | Fournir des données de tâche |
P2PSubmitResult | 5 | Beacon → Relais | Soumettre le résultat de la tâche |
P2PResultAck | 6 | Relais → Beacon | Accuser réception du résultat |
Format de fil : [type (1 byte)] [length (4 bytes, big-endian)] [payload (N bytes)]
Liaison de beacon¶
Connectez-vous à un beacon de liaison TCP à partir d'un beacon parent :
Déconnecter un enfant lié :
Cas d'utilisation¶
- Réseaux filtrés SMB : Lorsque le port 445 est bloqué entre les segments mais que les ports TCP personnalisés sont autorisés
- Cibles non Windows : La liaison TCP ne nécessite pas de pile Windows SMB
- Pivotement de port personnalisé : Liaison sur les ports qui se fondent dans le trafic attendu (par exemple, 8080, 3389)
Considérations OPSEC
- Ouvre un port TCP d'écoute sur le relais - détectable via l'analyse des ports
- Le trafic TCP brut sans TLS peut être inspecté par la surveillance du réseau
- Envisagez d'utiliser des listeners HTTPS ou SMB pour les environnements avec une inspection approfondie des paquets