如何使用BeaconEye监控CobaltStrike的Beacon

BeaconEye是一款针对CobaltStrike的安全工具,能够扫描并监控CobaltStrike Beacon的活动,检测C2流量。它通过解析进程和MiniDump文件来识别Beacon,解码AES密钥以提取和解密Beacon输出。功能包括按进程创建日志,导出Beacon配置,显示命令输出,检测隐藏Beacon等。目前仅支持HTTP/HTTPS Beacon的监控。
摘要由CSDN通过智能技术生成

 

关于BeaconEye

BeaconEye是一款针对CobaltStrike的安全工具,该工具可以扫描正在运行的主动CobaltStrike Beacon。当BeaconEye扫描到了正在运行Beacon的进程之后,BeaconEye将会监控每一个进程以查看C2活动。

工作机制

BeaconEye将会扫描活动进程或MiniDump文件,以尝试检测CobaltStrike Beacon。在活动进程模式下,CobaltStrike Beacon可以将其以调试器的身份与目标进程绑定,监控Beacon活动以识别C2流量(当前版本的BeaconEye支持HTTP/HTTPS Beacon)。

用于加密C2数据和mallable配置文件的AES密钥会被动态解码,这将允许BeaconEye能够在操作人员发送命令时提取和解密Beacon的输出。

每个进程都会创建一个活动日志文件夹,该文件夹与执行BeaconEye的当前目录对应。

功能介绍

每个进程一个日志文件夹;

导出Beacon配置;

显示大多数Beacon命令的输出;

保存屏幕截图;

检测单独的和注入的Beacon;

检测使用内置sleep_mask隐藏的Beacon;

扫描正在运行的进程或离线Minidump文件;

工具下载

广大研究人员可以直接使用下列命令将该项目源码克隆至本地&#x

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值