BrainDamageは、レッドチームやアドバーサリーシミュレーションチーム向けに設計されたペイロード生成および暗号化ステージングツールです。AES暗号化を組み込んだシェルスクリプトを作成する機能を提供し、専用のコマンド&コントロールインターフェースを通じて配信します。これにより、初期段階のペイロード展開やポストエクスプロイト時のピボットに役立ちます。
多くのペイロードジェネレーターが存在しますが、BrainDamageほどの使いやすさ、デフォルトでの暗号化、ステージング機能を兼ね備えたものはほとんどありません。Linux、macOS、Windowsをサポートするクロスプラットフォームツールであり、シェルコードやペイロードを秘匿して侵害済みマシンに配信する必要があるシナリオで特に有用です。
特徴
- 暗号化ステージング: ペイロードは配信前にAESで暗号化され、基本的な静的検査を回避します。
- ペイロードタイプ: bashリバースシェル、Pythonペイロード、カスタムシェルコードインジェクションをサポート。
- 組み込みHTTP/Sサーバー: 軽量なFlaskベースのインターフェースでペイロードをホスト・配信します。
- セッショントラッキング: ステージングされたペイロードの実行やハンドラーのアクティビティを追跡します。
- カスタムエンコーディング: 文字列ベースの検知を回避するための基本的な難読化を提供します。
インストールと使用方法
リポジトリをクローンします:
|
git clone https://github.com/mehulj94/BrainDamage.git<br>cd BrainDamage<br>pip install -r requirements.txt |
サーバーを起動し、基本的なペイロードを作成するには:
対話式プロンプト例:
|
[+] BrainDamageへようこそ [?] ペイロードタイプを選択してください: [bash/python/shellcode] [?] コールバック先のIPを入力してください: 192.168.1.10 [?] ポートを入力してください: 4444 [+] ペイロードが作成され、/payloads/bd_payload.shに暗号化されました [+] http://0.0.0.0:8080 で配信中 |
レッドチームでの有用性
BrainDamageは、暗号化ステージングや軽量なリバースシェル展開が重要となるレッドチーム活動のニッチを埋めるツールです。Sliverのような大規模なC2プラットフォームとは異なり、本ツールは完全なC2インフラの再現を目指していません。代わりに、初期ペイロードを秘匿かつ効率的に配信することに特化しています。
基本的な監視や文字列マッチングによる防御がある環境で活動するレッドチームにとって、ペイロードのAES暗号化やオプションの難読化は、侵入時の検知を困難にします。
検知に関する考慮事項
本ツールはペイロードを暗号化しますが、bashへのパイプ実行(| bash)のような手法はEDRツールにとって既知の警告サインです。ブルーチームは、予期しないホストへのcurl/wget通信やシェルインタープリターを用いたスクリプト実行パターンを監視すべきです。Rekallなどのプロキシやメモリフォレンジックツールも、メモリ上でのペイロードステージング検知に役立ちます。
比較
他のペイロードステージングツールとの比較:
| ツール | 暗号化 | プラットフォーム対応 | ステージングサーバー | ユースケース |
|---|---|---|---|---|
| BrainDamage | あり(AES) | Windows/Linux/macOS | 組み込みFlask | 暗号化ペイロード配信 |
| Unicorn | なし | Windows | 手動 | PowerShell/MSFペイロード生成 |
| Donut | なし | Windows | なし | .NETバイナリ用シェルコードローダー |
| SharpC2 | あり | Windows | カスタム | 高度なモジュラーC2フレームワーク |
まとめ
BrainDamageは、EmpireやCovenantのような次世代C2を目指しているわけではありません。その強みはシンプルさにあります。明らかな警告を出さずに柔軟かつ暗号化されたペイロード配信が必要なレッドチームにとって、有用なツールキットとなるでしょう。
Argusのような偵察ツールや、EvilReplayのような配信ツールと組み合わせることで、モジュラーかつ現代的な攻撃チェーンを構築できます。
詳細やダウンロードはこちら: https://github.com/mehulj94/BrainDamage