HardHatC2技术剖析

HardHat包含三个主要组件：ASP.NET Core团队服务器、Blazor .NET 客户端和基于 C# 的Engineer。因为HardHat整体由.Net Core开发，所以支持跨平台。

项目架构如下图所示。

Manager是监听器，对应Cobal Strike的listner，支持HTTP、HTTPS、tcp、smb通信，不支持DNS。

Engineer是植入物，对应Cobal Strike中的beacon，支持植入方式有shellcode、powershell、exe、dll、serviceExe，但所有的植入物都是无阶段的。

Teamserver采用ASP.NET Core + WebAPI的模式开发。Teamserver主要负责用户、Enginneer、Manager的管理，例如用户与角色的创建修改、Manager的创建删除等，这些都涉及到了数据库交互，HardhatC2默认使用Sqlite轻量数据库，直接访问Teamserver端默认会定向到Swagger界面。

Client采用ASP.NET Core Blazor Server模式开发，通过signaIR或webAPI与Teamserver进行实时通信（如指令下发和engineer生成），除了负责处理与Teamserver的通信，还负责Manager、Engineer和一些辅助功能的可视化。

框架本身在认证方面使用JWT进行认证，JWT的生成Key默认会放在appsetting.json中。

在授权方面使用RBAC进行鉴权，HardhatC2默认有10个不同权限的角色组。

特点：

• 采用Roslyn .NET 编译器动态编译，利用模板参数替换掉Engineer项目中的Program.cs中的预定义参数（如C2 profile、监听器地址和端口等）。然后使用 ilrepacking 将任何所需的 DLL 合并到默认的程序集中，以创建最终的植入文件，最后生成命名形式为Enginner_xxxx.exe的文件；

  
  

• 众所周知，Cobal Strike大量使用了反射注入dll，而在HardHat里，相对应的是所有指令动态加载，涉及到WinAPI调用使用D-Invoke，免杀效果较好；

  
  

• 线程注入技术支持简单线程注入、MapViewAPCResumeThread（Early Bird技术）、MapViewCreateThread三种；

  
  

• 使用ConfuseEx混淆代码；

  
  

• 指令主要靠调用C#语言层面的API和系统API实现大部分的功能；

  
  

• 支持Bof执行，相关代码位置在EngineerModulesBofExecution.cs；

缺点：

• 生成的程序集太大，280k，包含全部命令需要500多k；

  
  

• 所有的植入物只有stageless；

  
  

• HardHat的C2 profile只包含了一些基础流量特征，如下图所示；

其他常见 的C2 配置文件选项，例如睡眠、jitter、kill时间、窃取令牌掩码、注入技术等，被设置为了指令。

• 支持beacon类型太少，其他方式像钓鱼攻击、web delivery、office宏不支持。

下面是Engineer、Client、Teamserver间通信流程。

用户在client端输入指令，点击Send，触发Interact页面MudButton组件中的SendTask函数，该函数会使用RestClient封装Http请求，向TeamserverIP/engineer/{engineer.Id}发起Post请求，该url匹配Temserver的Engineer控制器中的TaskEngineer方法。

任务的执行位于Tasking类的DealWithTasks(List)，该方法首先会将CancellationTokenSource和taskID绑定存到字典中，这是为了执行CancelTask命令。然后判断任务是否阻塞，无阻塞，则直接异步执行；阻塞则同步执行。

Engineer端会根据sleep时间定期向teamserver发起请求。如果是https类型的Manager，请求发起是由EngHttpComm.Checkin方法完成的。

与Cobal Strike相比，HardHat没有cs灵活强大的C2 Profile，但是HardHat将C2 Profile的功能拆成了一个个的指令，可以在动态编译Engineer时选择是否添加。不少指令采用了新技术实现。HardHat包含了Cobal Strike的大部分指令，实现方式也大致相同，例如getsystem、stealtoken、sleep、spawn、文件操作等指令。除此之外，还有一些比较有特点的指令，主要涉及PE和.Net Assembly的执行，这些指令对于权限维持和提升带来非常大的便利。所有的指令代码位置在EngineerCommands目录下：

cancelTask：

该指令可以取消正在执行的任务。由于beacon端使用基于Task的异步编程，再加上每次执行指令前会把TaskID存到一个字典中，因此只需调用对应TaskID的CancellationTokenSource.Cancel() 方法就可以取消任务线程的执行。

Remote-Exec：

该指令用于横向移动，有五种形式可以利用，分别是psexec、wmic、wmic-powershell、winrm、dcom。五种利用方式都是自实现。

LoadAssembly：

该指令会手动装载PE文件，然后执行名为Main的导出函数。这里既可以运行非托管程序，也可以运行.Net程序集，但要设置程序集的导出信息。详细内容可参照参考链接3。

execute-PE：

该指令借鉴了RunPE项目，可以在不创建新进程的情况下，手动将非托管程序映射到内存中，经过修复导入表、重定位表、设置内存页权限后，执行入口点，实现了PE loader

ExecuteAssembly:

该指令主要通过shellcode注入执行PE文件，方式如下：创建子进程notepad.exe，然后注入shellcode形式的程序集。

InlineAssembly：

该指令主要用于在Engineer进程内加载程序集并运行，通过Assembly.load加载，支持在新建Appdomain和默认Appdomain内加载。

InlineDll:

该指令会手动装载Dll，然后调用指定的导出函数。

LdapSearch:

域内常用的ldap搜索实现

Patch AMSI与Patch ETW：

InlineHook修复AMSI和ETW

https://github.com/DragoQCC/HardHatC2

https://github.com/nettitude/RunPE

https://blog.xpnsec.com/rundll32-your-dotnet/