Cobaltstrike去除流量特征

最新推荐文章于 2024-04-13 16:39:57 发布
最新推荐文章于 2024-04-13 16:39:57 发布
阅读量2.3k 收藏 9
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36197704/article/details/119325428
版权

        普通CS没有做流量混淆会被防火墙拦住流量,所以偶尔会看到CS上线了机器但是进行任何操作都没有反应,这里尝试一下做流量混淆。参考网上的文章,大部分是两种方法,一种更改teamserver 里面与CS流量相关的内容,一种是利用Keytool工具生成新的store证书,我们需要做的修改大概为3个地方:

        1)修改默认端口

        2)去除store证书特征

        3)修改profile

1.修改默认端口

编辑teamserver文件,更改server port部分50000

2.去除store证书特征

查看证书,默认密码123456

keytool -list -v -keystore cobaltstrike.store

可以看到未修改的证书还是有很明显的cs特征的,比如 Alias name、Owner、Issuer字段

Keytool是一个Java的证书管理工具,下面用Keytool生成一个store证书

keytool -h                                                                                                                                                                                                       
Illegal option:  -h                                                                                                                                                                                              
ey and Certificate Management Tool                                                                                                                                                                              

Commands:                                                                                                                                                                                                        
-certreq            Generates a certificate request                                                                                                                                                              
-changealias        Changes an entry's alias                                                                                                                                                                     
-delete             Deletes an entry                                                                                                                                                                             
-exportcert         Exports certificate                                                                                                                                                                          
-genkeypair         Generates a key pair                                                                                                                                                                         
-genseckey          Generates a secret key                                                                                                                                                                       
-gencert            Generates certificate from a certificate request                                                                                                                                             
-importcert         Imports a certificate or a certificate chain                                                                                                                                                 
-importpass         Imports a password                                                                                                                                                                           
-importkeystore     Imports one or all entries from another keystore                                                                                                                                             
-keypasswd          Changes the key password of an entry                                                                                                                                                         
-list               Lists entries in a keystore                                                                                                                                                                  
-printcert          Prints the content of a certificate                                                                                                                                                          
-printcertreq       Prints the content of a certificate request                                                                                                                                                  
-printcrl           Prints the content of a CRL file                                                                                                                                                             
-storepasswd        Changes the store password of a keystore

使用以下命令生成一个新的store证书,-alias 和 -dname 可以自由发挥,也可以用其他的来混淆流量

keytool -keystore cobaltstrike.store -storepass 123456 -keypass 123456 -genkey -keyalg RSA -alias Microsec.com -dname "CN=Microsec e-Szigno Root CA, OU=e-Szigno CA, O=Microsec Ltd., L=Budapest, S=HU, C=HU"
	参数               含义    
	-alias  	指定别名
	-storepass   	指定更改密钥库的存储口令
	-keypass pass  	指定更改条目的密钥口令
	-keyalg        	指定算法
	-dname          指定所有者信息

也可以编辑 teamserver 文件来生成证书

3.修改profiles

        现在很多WAF都能检测出CS的流量特征,而CS的流量由Malleable C2配置来掌控的,所以我们需要定向去配置这个Malleable-C2。

下载Malleable-C2-Profiles文件

CS中集成了一个包含在Linux平台下的C2lint工具,可以检查profile代码是否有问题

chmod 777 c2lint
./c2lint ./Malleable-C2-Profiles/APT/havex.profile

        因为0.0.0.0是Cobalt Strike DNS Beacon特征,可以在profile内加一段 set dns_idle "8.8.8.8"; 之后profile内默认的能改则改

http-get部分,包括uri和header都可以根据实战抓包进行修改

chaojixiaojingang
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CobalStrike(CS)流量分析
热爱学习,喜欢折腾!
10-08 435
Cobalt Strike 3.0已经不再使用Metasploit框架而作为一个独立的平台使用,它分为客户端与服务端,服务端是一个,客户端可以有多个,可被团队进行分布式协团操作。Cobalt Strike集成了端口转发、服务扫描,自动化溢出,多模式端口监听,win exe木马生成,win dll木马生成,java木马生成,office宏病毒生成,木马捆绑;仅供学习参考使用,请勿用作违法用途,否则后果自负。
CobaltStrike4.7
11-29
cobalt strike(简称CS)是一款团队作战渗透测试神器,分为客户端及服务端,一个服务端可以对应多个客户端,一个客户端可以连接多个服务端。 Cobalt Strike集成了端口转发、扫描多模式端口Listener、Windows exe程序生成、Windows dll动态链接库生成、java程序生成、office宏代码生成,包括站点克隆获取浏览器的相关信息等。
Cobalt StrikeCS流量分析
小千安全
04-21 6481
为了识别 Cobalt Strike 生成的 HTTPS 流量,可以收集不同 TLS 实现的 JA3S 值,构建 JA3S 签名库,并结合其他特征和行为进行综合分析和判断。同时,反编译CS的源代码也可以得知,92L对应于x86位的木马,而93L对应于x64位的后门。在 HTTPS 协议的 Client Hello 和 Server Hello 阶段,都包含了 JA3S 值传输过程过程中会有 ja3,这个值在系统上是固定的,win10是一种的 但win11是另一种 他们取决于操作系统。
应急响应-CS流量分析&心跳指令&特征提取
最新发布
siu~
04-13 718
战后-流量分析-CS
反击CobaltStrike
HBohan的博客
09-03 1296
背景 CobaltStrike(简称CS)作为一款渗透测试神器,采用C/S架构,可进行分布式团队协作。CS集成了端口转发、服务扫描、自动化溢出、多模式端口监听、Windows exe与dll 木马生、Java 木马生成、Office 宏病毒生成、木马捆绑等强大功能,深受广大红队同学的喜爱。为了规避侦测,红队往往会对CS采用一些隐匿手段,常见方式有云函数和CDN等。这些隐匿手段隐匿了CS的真实IP,诸如DDoS之类的流量无法穿透CDN到达CS,常规的攻击方式难以对CS服务器形成有效干扰和打击。只能止步于此了吗
Cobalt Strike-修改默认证书、混淆流量-教程
W小哥
08-04 3499
首先,生成exe文件并上线使用whireshark抓取数据包查看一下默认配置下的Cobalt Strike,如下图所示默认情况下会间隔一段时间,请求一次 http://192.168.32.131//7VFJ文件、http://192.168.32.131//j.ad文件查看完整的http流,请求的http://192.168.32.131/7Vfj文件内容,请求http://192.168.32.131/j.ad文件内容。.........
CS流量行为特征
门柚的博客
07-26 5364
CS流量行为特征
流量特征分析--------------- cs、菜刀、蚁剑、冰蝎
qq_63278311的博客
11-16 954
2) 指令执行完后,client端通过POST请求发送执行的结果数据,body部分通过加密和base64编码。") 此数据由冰蝎加载器发出的,已经定义好的。1) 下发指令时,通过心跳包接收指令,这时,server端返回的包更长,甚至包含要加载的dll模块数据。3) 不同指令,执行的时间间隔不一样,可以通过POST请求和GET请求的间隔进行判断。1) 在请求的返回包中,通信数据均隐藏在jqeury*.js中。1) 间隔一定时间,均有通信,且流级上的上下行数据长度固定;如果用默认的蚁剑测试,连接时会请求两次。
常见Webshell&重大漏洞的流量特征(附解密流量工具)
Python_0011的博客
11-10 3029
攻防演练中,经常会看到一些加密的流量,又分不清楚是不是误报,本文总结了一些常见的流量特征,附流量解密工具。
朔源反制:cs流量分析
wuqingsix的博客
02-19 1136
特征:url headers format 这些需要自己更改配置文件在控制端temview的时候配置文件profile参数。强特征:TCP数据包中含有ja3,ja3s中的值为强特征 C hello S hello。wireshrk 筛选出符合本机通信与木马通信端的TLSv1的协议。进行wireshrk抓包筛选http 可获得一些cs独有的特征。测试http上线检测:eth0为监听的网卡 yaml为规则。强特征:请求含有checksum8规则的路径。基础特征:魔改的基本都会改。
CS客户端渗透测试(二)信息收集与流量分析
weixin_46137328的博客
12-20 3123
信息收集当我们拿到一个客户端软件的时候,信息收集是渗透测试的第一步,也是至关重要的一步。在这个阶段,我们需要尽可能的收集与目标应用程序相关的信息。查看程序基本信息:工具:CFF Exp...
CobaltStrike去除流量特征 - CoLoo - 博客园1
08-03
CobaltStrike去除流量特征 - CoLoo - 博客园1
CobaltStrike4.4.zip
09-15
CobaltStrike4.4
cobaltstrike中文版.zip
05-17
cobaltstrike中文版.zip
CobaltStrike4.8
05-30
使用方法 1、将server文件夹上传到java11环境的linux 然后使用以下命令启动(给teamserver和teamserver执行权限) ...2、使用java11环境的windows 双击client文件夹下的Cobalt-client.cmd 即可启动 默认连接端口50050
cobaltstrike4.0-cracked.zip
07-04
这是Cobalt Strike4.0的无后门版本,该版本仅供学习使用,请勿用于非法途径,请时刻遵守国家法律。
护网面试总结
zhihuijiazeng的博客
06-08 2977
从大佬的经验摘过来的
第118天:免杀对抗-二开CS&上线流量特征&Shellcode生成机制&反编译重打包(上)
qq_46081990的博客
07-25 721
魔改(二次开发)CS,目的是修改其特征防溯源,或是替换模板让其生成的payload直接达到免杀效果今天的内容主要涉及以下几个方面:(修改前提是将CS的jar文件反编译,修改完后再打包替换) 1 、表面配置特征消除修改CS端口(没改的是50050端口,可修改成其他的端口)修改CS证书配置修改CS加载文件配置 2 、上线流量特征消除采用默认http(s) 的CS请求url为4位字符串(如aaa9),将这4位字符串作为传入,通过算法checksum8会得到92(93) ,蓝队可以以此判定为CS连接器。
初级蓝队面经(预测部分)
m0_65041566的博客
06-15 987
蓝队初级预测
Cobalt Strike木马流量特征
07-13
Cobalt Strike是一种常用于渗透测试和红队行动的工具,它可以帮助安全团队模拟攻击者的行为。虽然Cobalt Strike具有很高的定制性,但是一些常见的木马流量特征可以帮助检测其存在。 以下是一些Cobalt Strike木马流量特征: 1. 异常流量Cobalt Strike在与C2服务器通信时使用自定义协议,与正常的网络通信流量不同,因此可以通过检测异常流量来识别Cobalt Strike木马。 2. 非标准端口:Cobalt Strike通常使用非标准端口进行通信,例如默认情况下使用50050端口。检测到使用非标准端口的流量可能是Cobalt Strike的迹象。 3. 指纹识别:Cobalt Strike的网络通信中包含特定的指纹,例如特定的HTTP请求头或特殊的网络包结构。这些指纹可以用于识别Cobalt Strike木马。 4. 模糊数据流:Cobalt Strike使用加密和编码技术来模糊其网络流量,以避免被检测。检测到模糊数据流可能是Cobalt Strike的迹象。 5. 不寻常的进程行为:Cobalt Strike通常通过注入恶意代码或创建恶意进程来实现横向移动和执行攻击。检测到不寻常的进程行为可能是Cobalt Strike的指示。 请注意,这些特征只是一些常见的线索,Cobalt Strike是一种高度可定制的工具,攻击者可以修改其行为以避免检测。因此,综合使用多种检测技术和工具是更有效地发现Cobalt Strike木马的方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值