Cobalt Strike 流量特征

Cobalt Strike 流量特征

总结来源于网上资料， 有错的地方欢迎各位大佬指正。

简介

简介：Cobalt Strike is software for Adversary Simulations and Red Team Operations. Cobalt Strike 简称CS， A-team详细介绍使用网址。CS是一款优秀的后渗透工具，可以在获取主机权限后进行长久权限维持，快速进行内网提权，凭据导出等。在后渗透中如果未修改特征，容易被流量审计设备监控，被蓝队溯源。

Cobalt Strike 是一个为对手模拟和红队行动而设计的平台，主要用于执行有目标的攻击和模拟高级威胁 者的后渗透行动

特征

默认端口 50050

SSL 证书流量特征：

• keystore type: jks
• Alias name: cobaltstrike
• Own: CN=Major Cobalt Strike
• Issuer: CN=Major Cobalt Strike

默认 C/S 端通讯证书：字段和固定哈希值识别

可以看到beacon的通信

对比正常的http流量，CS的http通信流量具有以下几个特征：

心跳包特征

• a) 间隔一定时间，均有通信，且流级上的上下行数据长度固定；

域名/IP特征

• a) 未走CDN、域前置的，域名及IP暴露
• b) 走CDN、域前置的，真实IP会被隐藏；

指令特征

a)	下发指令时，通过心跳包接收指令，这时，server端返回的包更长，甚至包含要加载的dll模块数据。

b)	指令执行完后，client端通过POST请求发送执行的结果数据，body部分通过加密和base64编码。

c)	不同指令，执行的时间间隔不一样，可以通过POST请求和GET请求的间隔进行判断。

数据特征

• a) 在请求的返回包中，通信数据均隐藏在jqeury*.js中。

去除特征的方法

修改默认端口50050

修改默认ssl证书

• keytool -list -v -keystore cobaltstrike.store
• 参考链接：https://www.cnblogs.com/CoLo/p/14518441.html#0x00-%E5%85%B3%E9%97%AD%E5%90%8E%E5%8F%B0%E8%BF%90%E8%A1%8C%E7%9A%84cs

修改profile

Cobalt Strike 流量特征 分析.png