如何使用BeaconEye监控CobaltStrike的Beacon

最新推荐文章于 2024-05-29 09:36:07 发布
最新推荐文章于 2024-05-29 09:36:07 发布
阅读量972 收藏 2
点赞数
文章标签: 系统安全 web安全 安全架构 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MSB_WLAQ/article/details/120638176
版权

 

关于BeaconEye

BeaconEye是一款针对CobaltStrike的安全工具,该工具可以扫描正在运行的主动CobaltStrike Beacon。当BeaconEye扫描到了正在运行Beacon的进程之后,BeaconEye将会监控每一个进程以查看C2活动。

工作机制

BeaconEye将会扫描活动进程或MiniDump文件,以尝试检测CobaltStrike Beacon。在活动进程模式下,CobaltStrike Beacon可以将其以调试器的身份与目标进程绑定,监控Beacon活动以识别C2流量(当前版本的BeaconEye支持HTTP/HTTPS Beacon)。

用于加密C2数据和mallable配置文件的AES密钥会被动态解码,这将允许BeaconEye能够在操作人员发送命令时提取和解密Beacon的输出。

每个进程都会创建一个活动日志文件夹,该文件夹与执行BeaconEye的当前目录对应。

功能介绍

每个进程一个日志文件夹;

导出Beacon配置;

显示大多数Beacon命令的输出;

保存屏幕截图;

检测单独的和注入的Beacon;

检测使用内

最低0.47元/天 解锁文章
白面安全猿
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BeaconEye说起,围绕CS内存特征的检测与规避
dzqxwzoe的博客
08-01 364
2021年8月BeaconEye项目发布,这是一个基于CobaltStrike内存特征进行检测的威胁狩猎工具。BeaconEye具有优秀的检出率与检测效率,使大多数已有规避技术无效化,在网络安全圈内掀起了关于CS内存攻防的新一轮讨论热潮。
大海捞“帧”:Cobalt Strike服务器识别与staging beacon扫描
qq_53058639的博客
08-03 1108
Cobalt Strike 作为一种后渗透工具,可以完成侦察鱼叉式钓鱼浏览器代理等攻击。Cobalt Strike 分为客户端和服务器两部分,服务器端被称之为Team Server。Team Server既是Beacon payload的控制器,也是Cobalt Strike提供社工功能的主机。TeamServer还存储了Cobalt Strike收集的数据以及日志记录。
探照灯BeaconEye:您的CobaltStrike猎手与监控利器
gitblog_00069的博客
05-09 344
探照灯BeaconEye:您的CobaltStrike猎手与监控利器 项目地址:https://gitcode.com/CCob/BeaconEye BeaconEye 是一款强大的工具,专为检测和监控运行中的CobaltStrike信标而设计。它能深入剖析进程,寻找潜在的恶意活动,并在发现信标时跟踪其通信行为。这款工具由安全专家@EthicalChaos 创建,旨在提供对系统安全状况的深刻洞察。...
geacon:练习Go编程并在Go中实现CobaltStrikeBeacon
03-21
如果有人的权利受到侵犯,请与我联系以删除该项目,最后一个请勿非法使用怎么玩设置团队服务器并启动http许可,团队服务器将生成文件.cobaltstrike.beacon_keys 。使用Jetbrains Idea编译BeaconTool,使用命令java -...
浅析 CobaltStrike Beacon Staging Server 扫描1
08-03
1. 绝大多数的C2地址就是Cobalt Strike其自身的IP,但是部分C2节点使用了域名进行连接 2. 相同IP的不同端口,C2节点配置不同,例如 103
浅析CobaltStrike Beacon Staging Server扫描 .pdf
09-05
浅析CobaltStrike Beacon Staging Server扫描 业务风控 AI 安全 应急响应 网络安全
CobaltStrike(beacon.dll)样本.zip
10-18
老版本的CobaltStrike样本,C2已经失去活性。
Cobalt-Strike-4.7
12-27
服务器组件,也就是团队服务器,是 Beacon payload 的 控制器,也是 Cobalt Strike 社会工程功能的托管主机。团队服务器还存储由 Cobalt Strike 收集的数据,并管理日志记录。 客户端组件:客户端团队成员使用的图形...
802.11 Beacon包参数解析
10-14
自己做的OMNIPEEK,以及wireshark版本beacon包解析. 两种抓包工具抓出的结果不太一样,但是可以互相补充。 这个文档可以用来了解802.11 mac层的各个参数。 802.11初学者必备。后续会慢慢丰富此文档。
IBeacon的完整使用
05-06
一个完整的ibeacon项目的示例,可以检测到附近的ibeacon信号,并且进行展示。同时也写入了部分的室内地图功能。
CobaltStrike逆向学习系列(5):Bypass BeaconEye
SecSource_Stars的博客
01-10 480
这是[信安成长计划]的第 5 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 BeaconEye 检测原理 0x02 Bypass 1 0x03 Bypass 2 0x04 效果图 在之前的三篇文章《Stageless Beacon 生成流程分析》《Beacon C2Profile 解析》《Beacon 上线协议分析》中,已经穿插着将 C2Profile 的全部内容介绍完了,也把 Bypass 所需要的一些内容也都穿插着提到过了,接下来就该说如何对其进行 Bypass 0x01 Beac
定向模糊测试工具Beacon基本用法
^_^
03-03 1292
Beacon是一个定向模糊测试工具,给定行号,能够定向探索行号附近的代码区域。主要思想是采用静态分析的方法获取到与目标有关的变量的最弱前置条件(weakest precondition)的信息,并在相关位置插入断言,来提前终止模糊测试执行与目标无关的输入,提高模糊测试的吞吐量来提高效率。
CobaltStrike逆向学习系列(9):Bypass BeaconEye - Beacon 堆混淆
SecSource_Stars的博客
01-21 615
这是[信安成长计划]的第 9 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 CS4.5 Sleep_Mask 0x02 HeapEncrypt 0x03 效果 0x04 参考文章 在之前的文章《Bypass BeaconEye》中提过了两个 Bypass BeaconEye 的方法,都是通过打乱 C2Profile 结构来做的,还有另外一种方式就是在 Sleep 的时候加密堆内存,在 CS4.5 中也对 Sleep_Mask 进行了更新 0x01 CS4.5 Sleep_Mask 根据
Cobaltstrike系列教程(三)beacon详解
热门推荐
J0o1ey Blog
08-01 1万+
0x000–前文 有技术交流或渗透测试培训需求的朋友欢迎联系QQ547006660 2000人网络安全交流群,欢迎大佬们来玩 0x001-Beacon详解 1.Beacon命令 大家通过系列教程(二)的学习,配置好Listner,让目标机执行我们的Payload/后门程序后,即可发现目标机已经上线 右键目标interact来使用Beacon,我们用它来执行各种命令 ※在Cobalt Stri...
CobaltStrike逆向学习系列(11):自实现 Beacon 检测工具
SecSource_Stars的博客
02-03 732
这是[信安成长计划]的第 11 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 检测原理 0x02 检测方案 0x03 存在的问题 0x04 解决方案 0x05 示例代码 0x06 写在最后 年也过了,继续开始卷卷卷… 目前使用比较多的检测工具就是 BeaconEye,在之前的文章中也已经提到过它的检测原理与 Bypass 的方法《Bypass BeaconEye》《Bypass BeaconEye - Beacon 堆混淆》,BeaconEye 所依赖的就是 C2Profile 解析后
Cobalt Strike beacon详解
qq_38348692的博客
08-18 3429
这篇文章接着上一篇weblogic漏洞拿到beacon开始写的,拿beacon的过程详细请看上上一篇文章:[WebLogic wls9-async 反序列化漏洞(CNVD-C-2019-48814)复现](https://blog.csdn.net/qq_38348692/article/details/99676809)。 beacon 中输入和help,查看所有的命令,及翻译: Beaco...
Linux:系统安全及应用
最新发布
2401_83784927的博客
05-29 1139
禁止账号和密码的修改 chattr +i /etc/passwd /etc/shadow #查看锁定文件状态 lsattr 文件名。限制历史命令数量 vim /etc/profile --> export HISTSIZE=XX --> source /etc/profile。chattr +i/etc/passwd/etc/shadow(锁定文件并查看状态)chattr -i/etc/passwd/etc/shadow(解锁文件)
cobaltstrike工具栏
09-14
1. Beacons:用于管理已经植入目标系统的Cobalt Strike Beacon代理的控制台。 2. Armitage:一个图形化的网络攻击管理器,可以用于目标感知和攻击协作。 3. Cobalt StrikeCobalt Strike桌面应用程序的设置和控制...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值