Cobalt Strike:使用已知的私钥解密流量 -Part 2
博客系列:Cobalt Strike:流量解密
- Cobalt Strike: 使用已知的私钥解密流量 - Part 2(当前部分)
- Cobalt Strike: 使用进程内存解密流量 - Part 3
- Cobalt Strike:使用已知的私钥解密流量-Part 1
- Cobalt Steike: 解密被掩盖的流量 - Part 4
- Cobalt Strike: 解密DNS流量 - Part 5
我们发现6个流氓软件Cobalt Strike的私钥,可以用来将C2网络流量进行解密
在这篇文章中,我们将通过查看感染期间捕获的完整数据包来分析Cobalt Strike感染。该分析包括对C2流量的解密。
如果你还没有看,我希望你先阅读下Part 1部分:使用已知的私钥解密流量 - Part 1
在此次分析中,我将使用2021-02-02-Hancitor-with-Ficker-Stealer-and-Cobalt-Strike-and-NetSupport-RAT.pcap.zip文件,该文件是Brad Duncan在他的个人网站分享出来的一个众多恶意软件流量中的其中之一。
我们从最低程度的知识基础开始:这个捕获文件包含Cobalt Strike的beacon与其团队服务器通信的加密HTTP流量。
如果你想了解更多关于Cobalt Strike和其他Cobalt Strike组件方面的只是,强力推荐这个 博客.
第一步:我们使用Wireshark打开这个流量文件,通过stager shellcode查找beacon并进行下载
虽然beacon以多种方式呈现,但是我们可以大致将它分为两类:
- 一小段shellcode(几百个字节),通常叫做stager shellcode,这段代码下载整个的beacon。
- 一个完全的beacon:一个可以反射性加载的PE文件
在这一步骤中,我们在流量文件中寻找stager shellcode的踪迹:我们通过一下的过滤器来进行筛选:http.request.uri matches "/....$".
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-m3OjRqoT-
图1:Cobalt Strike流量抓包
<