Cobalt Strike(CS)流量分析

最新推荐文章于 2024-05-21 08:43:54 发布
最新推荐文章于 2024-05-21 08:43:54 发布
阅读量6.9k 收藏 33
点赞数 8
分类专栏: 网络安全 文章标签: 服务器 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35258863/article/details/130298946
版权

文章目录

Cobalt Strike(CS)流量分析

cs运行原理

截图.png

1、被控端发送心跳包

被控端会向服务端发送心跳包。心跳包是一种延迟发送的数据包,默认间隔为60秒。这种设计的目的是为了迷惑防护软件。如果木马一直处于连接状态并持续传输数据,很容易被安全设备检测到。因此,CS可以通过设置心跳包的时间间隔,让木马在一段时间内不产生流量,处于睡眠状态。一旦有指令下达,木马就会通过间隔的时间传输数据并等待对方回应,相当于唤醒时间。这种心跳包的设计可以迷惑一些设备,防止设备捕获长时间在线的流量

2.服务端收到并记录被控端主机信息

如果心跳包不存在了,说明主机下线了,存在说明处于被控状态

3.再次发送心跳包询问是否有指令

服务端会再次向被控端发送心跳包以获取任务指令,例如执行什么命令

4.发送需要进行的操作指令

服务端会将需要执行的操作指令发送给被控端

5将命令加密后发送给被控端

在发送指令前,Server段会对命令进行加密处理,以确保指令的安全性

6.被控端接收指令

接收并解密指令,然后执行相应的操作,并将结果返回给服务端

cs流量分析

使用Wireshark或科莱等工具,模拟浏览器抓取,捕获并分析CS流量

CS生成一个HTTP木马,用于与C2服务器通信。一旦木马在目标系统上运行,上线并执行一条命令。我们对CS流量进行分析,了解木马和C2服务器之间的通信方式和特征

此外,我们还可以使用CS的心跳指令来提取其特征。通常情况下,CS会定期向C2服务器发送心跳包,以保持与服务器的连接。我们可以使用Wireshark等工具,捕获并分析这些心跳包,以识别出CS的特征

Windows可执行程序(E)和(Stageless)

Windows可执行程序(E)是一种恶意软件,也称为“大马拖小马”(RAT)。它通常很小(约20KB),用于感染目标系统并为后续的攻击建立立足点。一旦E恶意软件在目标系统上执行,它会从Cobalt Strike服务器下载并执行一个更大的负载(约200KB)。这个更大的负载被设计为更强大和功能丰富的,可能包括额外的功能,如键盘记录、文件窃取和命令执行。

Windows可执行程序(Stageless)是Cobalt Strike可以生成的另一种负载,它是一种更大的、无阶段的可执行文件(约290KB)。该负载包含了与Cobalt Strike服务器建立连接和执行命令所需的所有功能

区别:E负载更小、更难以被检测和识别,但在某些情况下可能不够隐蔽。而Stageless负载则更容易使用,但在某些情况下可能更容易被检测和拦截

截图.png

为什么要魔改cs

消除cs特征,使其

最低0.47元/天 解锁文章
小千超人
关注
  • 8
    点赞
  • 33
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CS-流量通讯特征修改-端口&store证书&流量通讯规则
金灰的博客
06-25 1149
免责声明:本文仅做技术交流与学习...-解决HTTP/S通讯证书及流量特征特征标示问题红队进行权限控制,主机开始限制出网,尝试走常见出网协议http/https,结果流量设备入侵检测检测系统发现异常,尝试修改工具指纹特征加密流量防止检测,结果被定位到控制服务器,再次使用CDN,云函数,第三方上线等进行隐藏保证权限维持。
常见Webshell&重大漏洞的流量特征(附解密流量工具)
Python_0011的博客
11-10 5714
攻防演练中,经常会看到一些加密的流量,又分不清楚是不是误报,本文总结了一些常见的流量特征,附流量解密工具。
流量分析-CS-HTTP协议-源码特征
最新发布
2301_76261573的博客
05-21 1127
完成了继mfs监听的,又一个基于cs的运行后门和可视化的监听
CS流量行为特征
门柚的博客
07-26 5632
CS流量行为特征
流量特征分析--------------- cs、菜刀、蚁剑、冰蝎
qq_63278311的博客
11-16 1619
2) 指令执行完后,client端通过POST请求发送执行的结果数据,body部分通过加密和base64编码。") 此数据由冰蝎加载器发出的,已经定义好的。1) 下发指令时,通过心跳包接收指令,这时,server端返回的包更长,甚至包含要加载的dll模块数据。3) 不同指令,执行的时间间隔不一样,可以通过POST请求和GET请求的间隔进行判断。1) 在请求的返回包中,通信数据均隐藏在jqeury*.js中。1) 间隔一定时间,均有通信,且流级上的上下行数据长度固定;如果用默认的蚁剑测试,连接时会请求两次。
Cobalt Strike流量特征分析
weixin_52741673的博客
07-21 4503
cobalt strike流量特征分析
朔源反制:cs流量分析
wuqingsix的博客
02-19 1229
特征:url headers format 这些需要自己更改配置文件在控制端temview的时候配置文件profile参数。强特征:TCP数据包中含有ja3,ja3s中的值为强特征 C hello S hello。wireshrk 筛选出符合本机通信与木马通信端的TLSv1的协议。进行wireshrk抓包筛选http 可获得一些cs独有的特征。测试http上线检测:eth0为监听的网卡 yaml为规则。强特征:请求含有checksum8规则的路径。基础特征:魔改的基本都会改。
护网面试总结
zhihuijiazeng的博客
06-08 4543
从大佬的经验摘过来的
CobaltStrike4.4.zip
09-15
`c2lint`可能是一个C2(Command and Control)服务器的分析工具,用于检查和验证Cobalt Strike的通信配置,确保其隐蔽性和抗检测性。 `cobaltstrike`目录可能包含整个Cobalt Strike框架,包括配置文件、资源和文档...
cobaltstrike中文版.zip
05-17
7. **Reporting**:Cobalt Strike提供报告功能,使红队成员能够记录和汇总活动,便于分析和报告给管理层。 8. **Integration**:与其他安全工具如Metasploit的集成,使得Cobalt Strike成为一个强大的安全评估平台。...
CobaltStrike4.0渗透测试手册
03-18
10. **应对策略与防御**:除了攻击方法,手册还可能包含防御方视角,分析如何识别和抵御Cobalt Strike攻击,以提升网络安全意识。 通过深入学习这本手册,读者可以掌握Cobalt Strike 4.0的精髓,提升网络安全技能,...
cobalt strike 4.7
06-07
Cobalt Strike 4.7 是一款广泛应用在网络安全领域的高级渗透测试工具,它主要用于模拟攻击者行为,评估组织的安全防御能力。C2(Command and Control)工具是指远程控制服务器Cobalt Strike 在此领域中扮演了核心...
Cobalt Strike4.1
12-30
Cobalt Strike是一款渗透测试神器,常被业界人称为CS神器。Cobalt Strike已经不再使用MSF而是作为单独的平台使用,它分为客户端与服务端,服务端是一个,客户端可以有多个,可被团队进行分布式协团操作。 Cobalt ...
告警流量分析Cobalt Strike(默认实验文)
soldi_er的博客
10-26 2885
文章目录前言从去除流量特征反推分析流量包200815084549005001_tmp.pcap - 无有用信息200929112751005001_tmp.pcap - 无有用信息流量包协议可疑 IP 地址犯错 - one hour passed201021151312005001_tmp.pcap - 有用信息第一段数据TCP 流所有 description源地址筛选:ip.src == 10.160.161.16源地址筛选:ip.src == 10.150.187.155总结 前言 软件一般都有流量特征
CS客户端渗透测试(二)信息收集与流量分析
weixin_46137328的博客
12-20 3214
信息收集当我们拿到一个客户端软件的时候,信息收集是渗透测试的第一步,也是至关重要的一步。在这个阶段,我们需要尽可能的收集与目标应用程序相关的信息。查看程序基本信息:工具:CFF Exp...
Cobaltstrike去除流量特征
chaojixiaojingang
08-02 2376
普通CS没有做流量混淆会被防火墙拦住流量,所以偶尔会看到CS上线了机器但是进行任何操作都没有反应,这里尝试一下做流量混淆。参考网上的文章,大部分是两种方法,一种更改teamserver 里面与CS流量相关的内容,一种是利用Keytool工具生成新的store证书,我们需要做的修改大概为3个地方: 1)修改默认端口 2)去除store证书特征 3)修改profile 1.修改默认端口 编辑teamserver文件,更改server po...
cobaltstrike流量特征
RestoreJustice的博客
09-17 534
cobaltstrike是红队攻防中常用的工具,用以连接目标和cobaltstrike服务器,方便红队进一步对目标渗透,在双方通信过程中cobaltstrike流量具有很明显的特征
CobalStrike(CS)流量分析
热爱学习,喜欢折腾!
10-08 547
Cobalt Strike 3.0已经不再使用Metasploit框架而作为一个独立的平台使用,它分为客户端与服务端,服务端是一个,客户端可以有多个,可被团队进行分布式协团操作。Cobalt Strike集成了端口转发、服务扫描,自动化溢出,多模式端口监听,win exe木马生成,win dll木马生成,java木马生成,office宏病毒生成,木马捆绑;仅供学习参考使用,请勿用作违法用途,否则后果自负。
Cobalt Strike木马流量特征
07-13
Cobalt Strike是一种常用于渗透测试和红队行动的工具,它可以帮助安全团队模拟攻击者的行为。虽然Cobalt Strike具有很高的定制性,但是一些常见的木马流量特征可以帮助检测其存在。 以下是一些Cobalt Strike木马流量特征: 1. 异常流量Cobalt Strike在与C2服务器通信时使用自定义协议,与正常的网络通信流量不同,因此可以通过检测异常流量来识别Cobalt Strike木马。 2. 非标准端口:Cobalt Strike通常使用非标准端口进行通信,例如默认情况下使用50050端口。检测到使用非标准端口的流量可能是Cobalt Strike的迹象。 3. 指纹识别:Cobalt Strike网络通信中包含特定的指纹,例如特定的HTTP请求头或特殊的网络包结构。这些指纹可以用于识别Cobalt Strike木马。 4. 模糊数据流:Cobalt Strike使用加密和编码技术来模糊其网络流量,以避免被检测。检测到模糊数据流可能是Cobalt Strike的迹象。 5. 不寻常的进程行为:Cobalt Strike通常通过注入恶意代码或创建恶意进程来实现横向移动和执行攻击。检测到不寻常的进程行为可能是Cobalt Strike的指示。 请注意,这些特征只是一些常见的线索,Cobalt Strike是一种高度可定制的工具,攻击者可以修改其行为以避免检测。因此,综合使用多种检测技术和工具是更有效地发现Cobalt Strike木马的方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值