RedExtは、認可されたレッドチーム作戦のために設計されたブラウザ拡張機能ベースのコマンド&コントロール(C2)フレームワークです。Manifest V3のChrome拡張機能とFlaskベースのC2サーバーで構築されており、ダークテーマのダッシュボードを通じてブラウザレベルでの詳細なデータ収集を可能にします。インプラントの設置場所を、信頼されているが監視が手薄なブラウザに移すことで、傍受を困難にし、偵察をより秘匿性の高いものにします。
主な機能
- ドメインフィルタリング対応のCookie抽出(SecureおよびHttpOnly Cookie対応)。
- タイムスタンプやタイトル、URLへのアクセス方法などのメタデータ付き閲覧履歴の取得。
- ページ全体のスクリーンショット、ビューポートや要素単位でのキャプチャ。
- ソースURL付きのリアルタイムクリップボード監視。
- 動的コンテンツやリソースマッピングを含むDOMスナップショット。
- ドメインコンテキスト付きのLocalStorageエクスポート。
- ブラウザ環境のプロファイリング、拡張機能の列挙、ハードウェアおよびネットワーク偵察。
- フォルダ構造を保持したブックマークの収集。
インストールと使用方法
RedExtの利用にはPythonとChromeが必要です。
|
git clone https://github.com/Darkrain2009/RedExt.git cd RedExt/server python –m venv venv source venv/bin/activate pip install –r requirements.txt python db_setup.py python c2_server.py runserver Load the extension via Chrome’s Developer mode, or command line: |
拡張機能はChromeのデベロッパーモード、またはコマンドラインから読み込むことができます:
|
# Windows (PowerShell) $ExtPath = “C:\path\to\RedExt\ext” Start–Process “chrome.exe” –ArgumentList “–load-extension=$ExtPath –no-first-run –no-default-browser-check” |
読み込まれると、拡張機能はC2ダッシュボード上でエージェントとして登録されます。オペレーターはCookieやDOMスナップショットの取得などのタスクを割り当て、それらはSQLiteデータベースに保存され、ダッシュボードで分析できます。
攻撃シナリオ
レッドチームのオペレーターが、フィッシングやラテラルムーブメントなどでブラウザへのアクセスを獲得します。ターゲットのChromeセッションにRedExtをアンパック拡張機能として静かにインストールします。Flaskダッシュボードから、閲覧履歴を収集して従業員のワークフローを把握し、認証Cookieを取得し、機密Webアプリのスクリーンショットを撮影し、システムやクリップボードのデータを流出させます――すべて、無害なブラウザ動作を装ったツールを通じて行われます。
レッドチームにおける意義
RedExtは、信頼され持続的な資産であるブラウザを、高精度な偵察基盤へと変貌させます。コアアプリケーション内部で動作することで、従来のリモートインプラントを凌駕します。FrancoのHavocやCobalt Strikeのようなツールは外部ビーコンに依存しますが、RedExtは防御側がほとんど調査しない場所で動作します。そのため、新たな攻撃の視点を提供し、防御側に疑わしいブラウザ拡張機能の監視を促します。
結論
RedExtは、ブラウザベースのインプラントにおける革新の好例です。ブラウザ自体をインプラントのホストとして活用することで、レッドチームは秘匿性と柔軟性を獲得します。防御側にとっては、ブラウザ拡張機能の監視という重大な死角を浮き彫りにします。RedExtは単なる研究用ツールではなく、インプラントがどこに存在し、どのように活動できるかを再定義する実用的なC2モデルです。
詳細やダウンロードはこちら:https://github.com/Darkrain2009/RedExt
翻訳元: https://www.darknet.org.uk/2025/08/redext-browser-extension-based-c2-framework-for-red-team-recon/