通过合法流量覆盖任意命令是每个红队入侵的必要条件。大多数命令和控制工具正在实施一种秘密技术，它允许红队隐藏他们的活动，因为数据泄露是目标的一部分。

David Kennedy开发了一个名为TrevorC2的命令和控制工具，可用于通过合法的HTTP流量执行命令。需要将trevorc2_server.py上的URL属性修改为所选的网站。

                                                    TrevorC2 - 服务器配置

植入物（trevorc2_client.py或trevorc2_client.ps1）具有SITE_URL属性。这需要使用命令和控制服务器的IP地址进行更改。当命令和控制服务器文件运行时，它将开始克隆网站。

                                                TrevorC2 - 服务器

有两种植入物可供使用，一种基于python，另一种植入PowerShell。从执行植入的那一刻起，将与命令和控制服务器建立连接。

                                         TrevorC2 - PowerShell Implant

命令可以从服务器发送到客户端：

                                                             TrevorC2 - 命令

命令将通过HTTP / S协议加密发送。TrevorC2使用AES加密和以下密码。加密命令将插入oldcss参数内的虚假网站：

                                     TrevorC2 - 加密密钥和数据位置

假网站将与命令和控制服务器托管在同一系统中，它看起来与原始网站完全一样。

                                TrevorC2 - 克隆网站

但是，检查源代码时，oldcss参数将包含加密命令。

通过进行流量检查，可以看出执行的命令是通过合法的HTTP流量覆盖的。

参考

https://www.trustedsec.com/2017/10/trevorc2-legitimate-covert-c2-browser-emulation/
https://github.com/trustedsec/trevorc2