CobaltStrike特征修改

最新推荐文章于 2024-05-19 11:08:23 发布
最新推荐文章于 2024-05-19 11:08:23 发布
阅读量308 收藏 1
点赞数
分类专栏: 安全学习 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_49849300/article/details/132584164
版权

0.参考

参考很多文章,包括不限于下述

CobaltStrike特征修改-安全客 - 安全资讯平台

https://www.cnblogs.com/xcymn/p/15721400.html

Cobalt Strike 的特征与隐藏 - 简书

https://github.com/rsmudge/Malleable-C2-Profiles/blob/master/normal/amazon.profile

https://www.cnblogs.com/Xy--1/p/14396744.html

一些malleable-c2-profile模板

GitHub - rsmudge/Malleable-C2-Profiles: Malleable C2 is a domain specific language to redefine indicators in Beacon's communication. This repository is a collection of Malleable C2 profiles that you may use. These profiles work with Cobalt Strike 3.x.

Malleable C2 - Cobalt Strike

1.修改端口

客户端默认连接端口:50050

在teamserver中修改

2.证书

keytool操作

Keytool是一个java数据证书的管理工具,Keytool将密钥 和 证书 存放在一个称为 keystore 的文件中,即.store后缀的文件中。

查看证书文件:keytool -list -v -keystore cobaltstrike.store 修改证书密码:keytool -storepasswd -keystore test.store 修改keystore的alias别名:keytool -changealias -keystore test.store -alias source_name -destalias new_name 修改alias(别名)的密码:keytool -keypasswd -keystore test.store -alias source_name

Keystore是什么?keystore是java的密钥库,用来进行通信加密,如数字签名。keystore就是用来保存密钥对的,公钥和私钥。Keystore可理解为一个数据库,可以存放很多个组数据。

每组数据主要包含以下两种数据:

  • 密钥实体 --- 密钥(secret key)又或者私钥和配对公钥(采用非对称加密)
  • 可信任的证书实体 --- 只包含公钥

新建store

而为了掩盖默认SSL证书存在的特征,需要重新创建一个新的不一样的证书 。使用以下命令创建证书:

keytool -keystore cobaltstrike.store -storepass 密码 -keypass 密码 -genkey -keyalg RSA -alias google.com -dname "CN=(名字与姓氏), OU=(组织单位名称), O=(组织名称), L=(城市或区域名称), ST=(州或省份名称), C=(单位的两字母国家代码)"

  • -alias 指定别名
  • -storepass pass 和 -keypass pass 指定密钥
  • -keyalg 指定算法
  • -dname 指定所有者信息

删除 CobaltStrike 自带的cobaltstrike.store,使用以下命令生成一个新的 cobaltstrike.store即可!然后客户端连接即可。

keytool -keystore cobaltstrike.store -storepass 123456 -keypass 123456 -genkey -keyalg RSA -alias baidu.com -dname "CN=(名字与姓氏), OU=(组织单位名称), O=(组织名称), L=(城市或区域名称), ST=(州或省份名称), C=(单位的两字母国家代码)" keytool -importkeystore -srckeystore cobaltstrike.store -destkeystore cobaltstrike.store -deststoretype pkcs12

真实证书

参考这个CS 合法证书 + Powershell 上线

关于合法证书+ps上线手把手示范

先购买一个用于上线的域名,然后用域名申请一个 SSL 证书

使用 FreeSSL首页 - FreeSSL.cn一个提供免费HTTPS证书申请的网站 用我的 spoofdomain.com 域名申请好了证书。

创建一个 keystore

将 ssl 证书上传到 CS 团队服务器,使用以下命令为 CS 生成 keystore:

openssl pkcs12 -export -in fullchain.pem -inkey privkey.key -out spoofdomain.p12 -name spoofdomain.com -passout pass:mypass keytool -importkeystore -deststorepass mypass -destkeypass mypass -destkeystore spoofdomain.store -srckeystore spoofdomain.p12 -srcstoretype PKCS12 -srcstorepass mypass -alias spoofdomain.com

Malleable C2 profile

将 keystore 加入 Malleable C2 profile 中:

https-certificate { set keystore "spoofdomain.store"; set password "mypass"; }

然后在启动 CS 的时候指定此 C2 profile:

nohup ./teamserver 47.x.x.x password c2.profile &

此时当团队服务器启动,其就会使用提供的 keystore 并启用 SSL 文件托管。

reverse_https 监听器

创建一个 reverse_https 的监听器,在 HTTPS Hosts 和 HTTPS Host(stager) 以及 HTTPS Host Header 这里指定域名:

Cobalt Strike HTTPS C2 重定向器

上面已经成功域名上线、正常通信了 。但是有时候我们也会遇到一种情况,就是目标网络的蓝队人员注意到了机器跟域名的通信,然后在浏览器上对此 url 进行访问,响应可能是 404、这样增加了蓝队人员的疑虑,就在防火墙设备上把你这个域名封掉了。导致我们看到的结果可能是短时间内 Beacon shell 全掉了。如何避免这种反查呢?

重定向器是一种 C2 基础架构的设计。这种基础架构设计可能可以帮助缓解这一局面。

如图,通过重定向器:

  • 将符合 CS Malleable C2 profile 中设置的流量特征(

User-Agent、

HTTP GET URI、

HTTP POST URI、

`HTTP Stager URI 等)的访问中转到团队服务器,进行正常命令与控制通信。

  • 将不符合 CS Malleable C2 profile 中设置的流量特征的访问中转到看上去无害的网站,比如目标网站。

这样的好处主要是避免在引起目标网络的蓝队人员的关注后,尽量打消其疑虑、避免其对真实 C2 后端服务器的进一步分析行为。另一方面,如果我们的上线域名被封,真正的 Cobalt Strike 团队服务器的 IP 仍然可以使用,于是可以换一个重定向器,获取新的 IP 和域名,然后重新投入使用。如果在 beacon payload 中设置了多个回连域名,那甚至不需要重新获得初始访问权限。

重定向器的一种简单实现方案是使用 Apache + mod_rewrite。mod_rewrite 是 Apache 的一个模块。此模块提供了一个基于正则表达式分析器的重写引擎来实时重写 URL 请求。但是一般 mod_rewrite 默认是不启动的,需要我们手动去启用它。

这里要注意:在使用了重定向器之后,上线域名应该解析为重定向器的 IP。

具体的操作在此文:https-payload-and-c2-redirectors 中写的很清楚。

现在已有 cs2modrewrite 这个工具帮助根据 Cobalt Strike 的 Malleable C2 profile 一键生成 mod_rewrite .htaccess。

但是注意:

  • mod_rewrite 的规则可以在两个地方配置:一是 apache 配置文件中(如 /etc/apache2/apache.conf),二是网络目录中的 .htaccess 文件中。
  • 分阶段 payload 和 stageless payload 的重定向规则集写法不同。参考此文:Cobalt Strike HTTP C2 Redirectors with Apache mod_rewrite,而本文中使用的 Scripted Web Delivery 就会生成 stageless 的 Beacon payload。

3.配置profile文件

Malleable C2 - Cobalt Strike

这个比较全面,解释了profile语法

1.test.profile

2.bing.profile

root@valuable-text-1:~/coablt_strike_4.5_cracked_www.ddosi.org# ./c2lint bing.profile [-] Error(s) while compiling bing.profile Error: invalid option for <Global> at line 49 steal_token_access_mask Error: invalid option for <Global> at line 52 tasks_max_size Error: invalid option for <Global> at line 53 tasks_proxy_max_size Error: invalid option for <Global> at line 54 tasks_dns_proxy_max_size Error: invalid option for <.process-inject> at line 579 bof_allocator Error: invalid option for <.process-inject> at line 580 bof_reuse_memory [-] Unable to load the Beacon profile bing.profile

jquery-c2.4.3.profile not working · Issue #11 · threatexpress/malleable-c2 · GitHub

看了这篇回答,问题原因可能是使用的4.5cs 而这个profile是4.7的

bing.profile

3.csdn 从零

从0写一个cs的profile文件_cs profile_Shanfenglan7的博客-CSDN博客

0_1.profile

4.根据burpsuite生成

GitHub - Peithon/JustC2file: Burp插件,Malleable C2 Profiles生成器;可以通过Burp代理选中请求,生成Cobalt Strike的profile文件(CSprofile)

这个比较好使,虽然说支持到cs4.3,但是似乎是向上版本兼容的,4.7不兼容4.5;4.3兼容4.5

生成了tool1.profile,可用。

FR0-1
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SecondaryDevCobaltStrike:二次开发过后的CobaltStrike,版本为4.1.在原来CobaltStrike的基础上修改多处特征,解决流量查杀问题
04-16
先赞后看,已成习惯.如有后门,我必完蛋:star: 关于二次开发后的CobaltStrike 默认的CobaltStrike内存在多处流量特征,在马儿与服务端建立连接时进行流量交互.此间存在多处可疑特征已被各大杀软记录在册 如:卡巴斯基,诺顿,迈克菲等,但国内杀软并无此功能. 所以在客户端进行免杀的同时服务端在流量交互方面也需要特征去除,才产生了二次开发后CobaltStrike. 此次二开为CobaltStrike4.1版本. 效果截图 迈克菲截图 卡巴斯基截图 诺顿截图 注:所有的CobaltStrike上线未被查杀都基于客户端的马儿未被AV静态查杀的前提下,达到了动态免杀. 使用方法 1.将cobaltstrike.jar文件替换服务端的原有jar 2.将cobaltstrike.jar文件替换客户端的原有jar 3.请确保服务端或客户端的Java环境在Jdk10以上(包含JDK10) 使用中
CobaltStrike4.4.zip
09-15
CobaltStrike4.4
Cobalt Strike特征修改
qq_50854662的博客
06-01 2685
修改cs特征
Cobalt Strike配置
最新发布
m0_66993332的博客
05-19 433
Cobalt Strike的配置
Cobalt Strike4.0修改指纹信息
weixin_41489908的博客
07-18 1184
她只是随口说说,而你却当了真,你认真努力的样子最终感动了自己。。。 ---- 网易云热评 一、修改证书信息 1、查看证书 root@kali:~/cobaltstrike4.0#keytool -list -v -keystore cobaltstrike.store 输入默认密钥库口令:123456 2、修改别名、所有者、发布者 打开teamserver,修改上面的属性 如果把密码修改后,再运行后会报如下错误,所以先不修改其他属性 3、修改证书密码 root...
cobaltstrike中文版.zip
05-17
cobaltstrike中文版.zip
CobaltStrike4.8
05-30
使用方法 1、将server文件夹上传到java11环境的linux 然后使用以下命令启动(给teamserver和teamserver执行权限) ...2、使用java11环境的windows 双击client文件夹下的Cobalt-client.cmd 即可启动 默认连接端口50050
cobalt strike 4.7
06-07
cobalt strike 4.7
Cobalt Strike 4.5
09-21
Cobalt Strike是一款超级好用的渗透测试工具,拥有多种协议主机上线方式,集成了提权,凭据导出,端口转发,socket代理,office攻击,文件捆绑,钓鱼等多种功能。同时,Cobalt Strike还可以调用Mimikatz等其他知名...
java -jar启动 报错: Error: Unable to access jarfile
wq123123423432的博客
03-27 7807
java -jar启动 报错: Error: Unable to access jarfile
error unable to access jarfile 解决方案
热门推荐
rookiesx的博客
03-27 5万+
在jenkins shell 排查一个错误时,花了很久。 表象是因为 执行shell 脚本 中的 java -jar xxx.jar 没有成功启动jar 程序。 因为使用了 nohup & 来后台启动jar 包,所以jenkins 没有打印出错误 日志。 在去除 nohup & 之后,发现是报了error unable to access jarfile 错误导致的。 解决方案:发现是 调用shell脚本 时访问不到该jar,通过修改jar 绝对路径解决了 /home/user
CobaltStrike服务端自身隐匿技巧
The current road is different, love needs to distinguish between right and wrong
11-18 2254
CobaltStrike服务端自身隐匿技巧
黑客必备利器:如何在系统上安装和使用 CobaltStrike(简称:CS)
weixin_43263566的博客
01-11 1万+
渗透测试之基本的攻击流程
Cobalt Strike-修改默认证书、混淆流量-教程
W小哥
08-04 3565
首先,生成exe文件并上线使用whireshark抓取数据包查看一下默认配置下的Cobalt Strike,如下图所示默认情况下会间隔一段时间,请求一次 http://192.168.32.131//7VFJ文件、http://192.168.32.131//j.ad文件查看完整的http流,请求的http://192.168.32.131/7Vfj文件内容,请求http://192.168.32.131/j.ad文件内容。.........
在服务上搭建CobaltStrike注意
摔不死的笨鸟的博客
12-24 719
cobaltstrike搭建
Cobalt Strike使用教程
huangyongkang666的博客
04-03 5948
Cobalt Strike使用教程 1.CS简介 ​ Cobalt Strike是一款渗透测试神器,常被业界人称为CS神器,是域渗透,内网渗透,内网漫游,后渗透手段利器,但前提是获得一台主机的shell。早期版本CobaltSrtike依赖Metasploit框架,而现在Cobalt Strike已经不再使用MSF而是作为单独的平台使用,它分为客户端(Client)与服务端(Teamserver),服务端是一个,客户端可以有多个,团队可进行分布式协团操作 ​ Cobalt Strike集成了端口转发、扫
Cobalt Strike木马流量特征
07-13
Cobalt Strike是一种常用于渗透测试和红队行动的工具,它可以帮助安全团队模拟攻击者的行为。虽然Cobalt Strike具有很高的定制性,但是一些常见的木马流量特征可以帮助检测其存在。 以下是一些Cobalt Strike木马流量特征: 1. 异常流量:Cobalt Strike在与C2服务器通信时使用自定义协议,与正常的网络通信流量不同,因此可以通过检测异常流量来识别Cobalt Strike木马。 2. 非标准端口:Cobalt Strike通常使用非标准端口进行通信,例如默认情况下使用50050端口。检测到使用非标准端口的流量可能是Cobalt Strike的迹象。 3. 指纹识别:Cobalt Strike的网络通信中包含特定的指纹,例如特定的HTTP请求头或特殊的网络包结构。这些指纹可以用于识别Cobalt Strike木马。 4. 模糊数据流:Cobalt Strike使用加密和编码技术来模糊其网络流量,以避免被检测。检测到模糊数据流可能是Cobalt Strike的迹象。 5. 不寻常的进程行为:Cobalt Strike通常通过注入恶意代码或创建恶意进程来实现横向移动和执行攻击。检测到不寻常的进程行为可能是Cobalt Strike的指示。 请注意,这些特征只是一些常见的线索,Cobalt Strike是一种高度可定制的工具,攻击者可以修改其行为以避免检测。因此,综合使用多种检测技术和工具是更有效地发现Cobalt Strike木马的方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值