BounceBack: Stealth Redirector cho Red-Team & C2 Infrastructure

Tổng quan & Mục đích

BounceBack là một reverse-proxy / WAF (Web Application Firewall) được thiết kế nhằm giúp các đội Red Team che giấu hạ tầng C2/phishing hoặc các dịch vụ “nhạy cảm” trước các Blue Team, sandbox, scanners, quét tự động, hoặc các bên không muốn truy cập.

Mục đích chính:

• Bảo vệ hạ tầng offensive (C2, phishing, DNS-tunnel, custom protocol…) khỏi bị phát hiện bởi bên defensive.
• Cho phép cấu hình linh hoạt nhiều lớp filter, rule, proxy — tùy theo yêu cầu của người dùng.

Kiến trúc & Thành phần chính

BounceBack có cấu trúc modular rõ ràng, với các thư mục/ thành phần chính:

• cmd/bounceback — binary chính.
• internal/ & pkg/ — chứa logic filter, proxy manager, WAF, xử lý rule, hỗ trợ đa giao thức.
• data/ — chứa các danh sách blacklist/wordlist có sẵn.
• scripts/ — hỗ trợ thao tác phụ trợ, ví dụ script thu thập banned IP list.
• config.yml — tập tin cấu hình chính.

Thư viện/phần phụ trợ:

• Hỗ trợ module như pkg/ipapicom để tra cứu geolocation / thông tin IP khi apply rule.

Protocols & Pipelines

• HTTP(s), DNS, Raw TCP/TLS, UDP.
• Rules/Filters: Boolean combination, IP/subnet, geolocation, regex packet, Malleable C2 validation, work-hours.
• Hỗ trợ nhiều pipelines/proxy instances cùng lúc.
• Logging chi tiết phục vụ phân tích.

Cách Deploy & Yêu cầu Hệ thống

Cài đặt / Build / Triển khai

• Tải release → chỉnh config.yml → chạy binary.
• Build từ source yêu cầu Golang.

Khởi chạy

./bounceback -c config.yml -l bounceback.log -v [verbosity]

Có thể cập nhật danh sách banned IP bằng script:

bash scripts/collect_banned_ips.sh > data/banned_ips.txt

Tính năng nổi bật & Các điểm mới

• v1.5.2: sửa lỗi geo-rule, timezone Windows.
• v1.5.0: hỗ trợ Malleable C2 validation.
• Hỗ trợ domain-fronting.
• Blacklist/wordlist lớn.

Ưu / Nhược điểm

Ưu điểm

• Hỗ trợ đa protocol + đa rule.
• Filter mạnh, giảm khả năng bị phát hiện.
• Dễ mở rộng.
• Logging chi tiết.

Nhược điểm

• Config sai → block nhầm.
• Blacklist có thể lỗi thời.
• Hiệu năng giảm nếu rule nhiều.
• Nguy cơ lạm dụng → chỉ dùng hợp pháp.

Lưu ý Bảo mật

• Chỉ dùng trong môi trường hợp pháp.
• Bảo vệ config, binary, log.
• Audit rule, update blacklist.

Ví dụ Cấu hình (config.yml)

proxies:
  - name: web_front
    listen: "0.0.0.0:443"
    protocol: https
    tls_cert: "cert.pem"
    tls_key: "key.pem"
    target: "127.0.0.1:8080"
    rules_pipeline:
      - rule: subnet_whitelist
      - rule: geoip_allowed_countries
      - rule: malleable_c2_profile_check
      - rule: banned_words_filter
    globals:
      drop_on_mismatch: true
      log_level: debug

Kết luận

BounceBack là công cụ mạnh để che giấu hạ tầng red-team. Cấu trúc modular, hỗ trợ đa protocol và rule phong phú giúp triển khai các redirector/waf linh hoạt. Người dùng cần sử dụng đúng mục đích và test cấu hình cẩn thận.

Source link: BounceBack