CobaltStrike的心跳通信

于 2024-07-25 10:17:45 发布
阅读量702 收藏 10
点赞数 12
分类专栏: hvv常见告警 文章标签: github 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_56698744/article/details/140681086
版权

CobaltStrike的心跳通信是其与受害者主机(即Beacon)之间保持连接并传输命令的重要方式。以下是对CobaltStrike心跳通信的详细解析:

一、心跳通信的基本概念

心跳通信是一种用于检测网络连接状态的机制。在CobaltStrike中,Beacon(即CobaltStrike在受害者主机上部署的后门程序)会定期向CobaltStrike的C2服务器(即TeamServer)发送心跳包,以确认双方的网络连接仍然有效,并询问C2服务器是否有新的命令需要执行。

1. 第一次请求时, beacon.exe 程序请求下载完整的 payload;

2. 下好 payload 就直接在内存里运行,也就是说 beacon 开始运行,它做了如下操作:

(1)收集主机信息,生成用于协商的原始密钥 raw key,还有一些其他数据;

(2)用 RSA 公钥加密这些数据,将其存储在请求包的 cookie 中,然后发送给 CS 服务器。

这是第一次心跳,之后 beacon 进入睡眠时间。而CS 服务器收到后,做以下操作:

(1)用 RSA 私钥解开密文,从中提取主机信息和 raw key;

(2)在 target 列表生成一个新的主机;

(3)基于 raw key 生成 AES KEY 和 HMAC KEY,用于后续的加密通信。

3. 睡眠时间过后,beacon 再次发送心跳包,这次发送的目的是询问 CS 服务器是否有命令下发。

如果有,CS 服务器将包含命令的数据用 AES 加密得到密文,以及用 HMAC KEY 计算出 hash ,以 (AES 密文+hash) 的格式存放在 response  报文的响应体中。

如果没有,就跟第一次心跳一样,返回响应体为空的 response 报文。

4. 如果 beacon 收到命令,就在受害者主机上执行。执行完后,将命令执行结果发送给 CS 服务器,并重新进入睡眠时间。

二、心跳通信的过程

  1. Beacon上线
    • Beacon首次启动时会向C2服务器发送上线请求,这个请求通常包含了用RSA公钥加密的受害者主机信息。
    • C2服务器收到请求后,会使用RSA私钥解密信息,并基于解密后的信息生成AES密钥和HMAC密钥,用于后续的加密通信。
  2. 心跳包发送
    • 在Beacon上线并成功建立加密通信后,它会进入睡眠状态,等待一段时间后再次发送心跳包。
    • 心跳包的主要目的是询问C2服务器是否有新的命令需要执行。如果没有新命令,C2服务器会返回一个空的响应包;如果有新命令,C2服务器会将命令加密后包含在响应包中发送给Beacon。
  3. 命令执行与结果返回
    • Beacon收到命令后会在受害者主机上执行,并将执行结果加密后发送给C2服务器。
    • C2服务器收到结果后,会进行解密并展示给攻击者。

三、心跳通信的加密与解密

  • 加密:CobaltStrike使用AES加密和HMAC签名来确保通信过程中的数据安全和完整性。AES密钥和HMAC密钥是在Beacon上线过程中基于受害者主机信息生成的。
  • 解密:C2服务器使用对应的AES密钥和HMAC密钥来解密接收到的数据包,并验证数据的完整性。

四、心跳通信的自定义配置

  • CobaltStrike允许攻击者通过修改配置文件来自定义Beacon的心跳间隔、检查频率等参数,以适应不同的攻击场景和需求。
  • 攻击者还可以利用CobaltStrike提供的流量伪装功能来隐藏或伪装Beacon的心跳通信流量,以逃避安全检测。

1、cobalt strike malleable C2配置文件:

通过cobalt strike maleable C2配置文件可以修改框架内的各种默认值,操作者可以修改Beacon的内存占用,更改其检入的频率等等,甚至可以修改 Beacon的网络流量。
因此想要实现流量伪装,需要去整一个Malleable-C2-Profiles配置文件加载,脚本下载地址:

GitHub - rsmudge/Malleable-C2-Profiles: Malleable C2 is a domain specific language to redefine indicators in Beacon's communication. This repository is a collection of Malleable C2 profiles that you may use. These profiles work with Cobalt Strike 3.x.

2、配置malleable:
解压后打开profile文件就可以在里面修改

参考文章:深入研究cobalt strike malleable C2配置文件 - 先知社区 

3、执行:
修改完(或编写完)之后将profies上传到C2服务器上,先使用c2lint文件查看cobalt strike malleable C2配置文件(也就是上面的amazon.profile)有没有异常

五、总结

CobaltStrike的心跳通信是其实现远程控制受害者主机的重要机制之一。通过定期发送心跳包并加密传输命令和结果数据,CobaltStrike能够确保与受害者主机之间的网络连接稳定且安全。同时,攻击者还可以通过自定义配置来优化心跳通信的性能和隐蔽性。

故事讲予风听
关注
专栏目录
148.网络安全渗透测试—[Cobalt Strike系列]—[HTTP Beacon基础使用/脚本web传递/屏幕截图/端口扫描]
qwsn
03-19 3388
一、Cobalt Strike基本使用 1、Cobalt Strike简介 2、Cobalt Strike(CS)整体框架图 二、Cobalt Strike简单使用 1、实验坏境 2、实验过程
内网神器cobaltstrike使用教程
hackzkaq的博客
11-17 7894
搜索公众号:白帽子左一,领配套练手靶场,全套安全课程及工具 一、安装使用 安装 系统环境:需要java环境Oracle Java 1.8,Oracle Java 11 下载解压就可以使用 使用 首先要运行服务端,如果你有个外网的机器,可以把服务端运行于外网的机器上,也可以运行于本地 服务端启动命令 windows 运行teamserver.bat teamserver.bat 1.1.1.1 123456 linux 需要有足够权限,可以通过chmod +x teamserver 来提高权限 ./tea
Cobalt Strike通信过程 & 协议
shawdow_bug的博客
10-29 3165
这是一篇个人学习笔记,想更仔细了解原理,可阅读,主要内容是利用流量分析 Beacon 与 Cobalt Strike 服务端之间的通信过程,包括。当然,流量是加密的,需要一些辅助工具或脚本,其中的功能包括,等等。
网络渗透学习第四天
最新发布
weixin_61590256的博客
07-16 1743
在实际的渗透测试过程中,我们可以借助已经拿到 Shell 的外网靶机(此处的 Win7) 当跳板机,访问靶机所在的内网的主机和 Web 服务,使用 Socks4 代理即可在自己的物理机中访问到目标内网的服务;|<-------Payload Generator #生成各种语言版本的payload。|<-------Windows Executable #生成EXE的payload。|<-------USB/CD AutoPlay #生成自动播放执行的木马文件。
CobaltStrike逆向学习系列(1):CS 登陆通信流程分析
无心的博客
01-14 467
这是[信安成长计划]的第 1 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 密码校验 0x02 aggressor.authenticate 0x03 aggressor.metadata 0x04 数据同步 0x05 流程图 0x06 参考文章 先统一一下后续文章所提到的一些名词,以确保大家都在聊同一个东西,文中将 CobaltStrike分为 Controller、TeamServer、Beacon 三端,本文所描述的是 TeamServer 启动之后,从 Controller 登
探索新一代C2通信——CobaltBus
gitblog_00028的博客
05-31 463
探索新一代C2通信——CobaltBus 项目地址:https://gitcode.com/Flangvik/CobaltBus 项目介绍 CobaltBus 是一个创新的开源项目,它将Cobalt Strike的外部C2(指挥与控制)功能与Azure Service Bus相结合,实现了通过Azure服务总线进行C2流量传输的安全隐蔽方式。该项目的灵感来源于@ryHanson的工作,但在此基础上...
Cobalt Strike(十六)malleable C2的使用
qq_56426046的博客
09-26 797
英文 Malleable Command and Control可扩展的命令和控制Mallerable C2 是一种特定的语言,主要用来控制 “Cobalt Strike Beacon”攻击载荷中的网络指针(网络参数)使用malleable C2
cobalt strike笔记-常用beacon命令.pdf
04-03
DNSBeacon 是 Cobalt Strike 中另一个非常受欢迎的功能,它通过 DNS 协议实现后门的隐蔽通信。DNSBeacon 在绕过网络限制和权限维持方面非常有效,特别适用于有出口网络限制的环境。配置 DNSBeacon 需要一个域名,...
红队专题-Cobalt strike4.5二次开发
aming小老弟
10-09 2075
一起学习 代码审计、安全开发、web攻防、逆向等。
cobaltstrike安装使用
w7deer的博客
05-06 5767
Cobalt Strike是一款基于java的渗透测试神器,被业界人称为CS神器。自3.0以后已经不在使用Metasploit框架而作为一个独立的平台使用,分为客户端与服务端,适合团队协同作战,多个攻击者可以同时连接到一个团队服务器上,共享攻击资源与目标信息和sessions,可模拟APT做模拟对抗,进行内网渗透。 Cobalt Strike集成了端口转发、服务扫描,自动化溢出,多模式端口监听,win exe木马、win dll木马、java木马、office宏病毒等,钓鱼攻击包括:站点克隆,目标信息获取等
红队专题-Cobalt strike从小白到飞升手册
aming小老弟
10-09 1338
4.0 2019年12月2日 更新 Cobalt Strike 4.0 手册奇安信 A-TEAMCobalt Strike 是一款 美国Red Team开发的 商业GUI框架式 优秀的渗透测试工具 简称CS为对手模拟渗透测试 和红队行动而设计的 协作工具平台,主要用于执行有目标的攻击和模拟高级威胁者的后渗透行动。可以利用网络漏洞获取主机权限后、从一个强大的图形界面控制所有的活动。因可以调用Mimikatz等其他知名工具并且可以作为团队服务使用,因此广受网络安全人员喜爱。
AzureC2Relay:AzureC2Relay是一个Azure功能,它通过基于Cobalt Strike可锻C2配置文件验证传入的请求来验证和中继Cobalt Strike信标流量
03-04
AzureC2中继 AzureC2Relay是一个Azure功能,通过基于Cobalt Strike Malleable C2配置文件验证传入的请求来验证和中继Cobalt Strike信标流量。 任何不共享配置文件用户代理,URI路径,标头和查询参数的传入请求都将被重定向到可配置的诱饵网站。 验证后的C2流量将中继到同一虚拟网络内的团队服务器,该服务器将进一步受到网络安全组的限制。 允许VM仅公开SSH。 部署 AzureC2Relay是通过terraform azure模块以及一些本地az cli命令部署的 确保已安装terraform,az cli和dotnet core 3.1运行时 Windows(Powershell) &([scriptblock]::Create((Invoke-WebRequest -UseBasicParsing 'https://dot.net/v1
CobaltStrike使用-第一篇(基本使用方法、监听器、重定向器,以及通过重定向器隐藏C2服务器)
Love&Share
11-29 5221
文章目录基本使用客户端与服务器连接上线CS基本步骤基础设施监听器BeaconDNS BeaconDNS请求原理实验避坑重定器实验 Cobalt Strike是一款综合的渗透测试神器 官网:https://www.cobaltstrike.com/ 工具的社区版是Armitage(一个MSF的图形化界面工具),CobaltStrike为收费商业版本 手册:CobaltStrike4.0用户手册_中文翻译、4.3、狼组版 Cobalt Strike使用C/S架构,Cobalt Strike的客户端连接到团.
RedWarden:Cobalt Strike C2反向代理
weixin_43977912的博客
07-04 600
关于RedWarden RedWarden是一款功能强大的Cobalt Strike C2反向代理,可以帮助广大研究人员通过数据包审查和CobaltStrike的Malleable配置关联分析实现针对蓝队、反病毒产品、终端安全响应系统(EDR)以及扫描器的抵御和对抗。 红队研究人员一直都在研究如何对抗事件响应工具的误导,尤其是涉及到C2重定向网络的时候。那么RedWarden将这些想法整合到了一个轻量级实用程序中,并能够模仿Apache2作为简单HTTP(s)反向代理。 RedWarden运行机制 工具.
Cobalt Strike的使用
热门推荐
jpygx123的博客
11-16 1万+
  【下列实验有一个前提就是对方要能ping通你搭的服务器。】 Cobalt Strike简介: Cobalt Strike是一款渗透测试软件,分为客户端与服务端,服务端是一个,客户端可以有多个,可以进行团队分布式操作 Cobalt Strike集成了端口转发、扫描多模式端口Listener、Windows exe程序生成、Windows dll动态链接库生成、java程序生成、offic...
Cobalt Strike malleable C2的使用(子篇7)
yyj1781572的博客
11-22 461
Cobalt Strike malleable C2的使用
RedWarden:Cobalt Strike C2反向代理_c2reverseproxy,2024年最新面经解析
2401_83621136的博客
04-18 766
RedWarden可以充当HTTP/HTTPS反向代理,并对入站C2 HTTP请求施加若干限制,选择将哪些数据包定向到Teamserver以及需要丢弃哪些数据包,类似于Apache2的mod_rewrite中强制执行的.htaccess文件限制。RedWarden的创建是为了解决C2重定向器层上的IR/AV/EDRs/沙盒规避问题,它的目的是取代经典的Apache2+mod_rewrite设置。根据以下三种策略,无效数据包可能会被错误路由:重定向:将节点重定向至其他网站;
探索C2concealer:Cobalt Strike的智能化C2配置生成器
gitblog_00098的博客
06-08 327
探索C2concealer:Cobalt Strike的智能化C2配置生成器 C2concealerC2concealer is a command line tool that generates randomized C2 malleable profiles for use in Cobalt Strike.项目地址:https://gitcode.com/gh_mirrors/c2c/C...
CobaltStrike渗透测试指南
"CobaltStrike.pdf - 一篇关于Cobalt Strike的详细教程文档,主要涵盖其简介、基本使用、模块介绍、脚本使用和扩展功能,特别提到了Malleable C2和External C2等内容。" Cobalt Strike是一款广泛应用于网络安全领域...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

故事讲予风听

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值