Cobalt Strike:使用已知的私钥解密流量 -Part 2

已于 2022-04-11 12:36:25 修改
阅读量603 收藏
点赞数 1
文章标签: 安全
于 2022-04-11 12:35:58 首次发布
原文链接:https://blog.nviso.eu/2021/10/21/cobalt-strike-using-known-private-keys-to-decrypt-traffic-part-1/
版权

Cobalt Strike:使用已知的私钥解密流量 -Part 2

博客系列:Cobalt Strike:流量解密

  • Cobalt Strike: 使用已知的私钥解密流量 - Part 2(当前部分)
  • Cobalt Strike: 使用进程内存解密流量 - Part 3
  • Cobalt Strike:使用已知的私钥解密流量-Part 1
  • Cobalt Steike: 解密被掩盖的流量 - Part 4
  • Cobalt Strike: 解密DNS流量 - Part 5

我们发现6个流氓软件Cobalt Strike的私钥,可以用来将C2网络流量进行解密

在这篇文章中,我们将通过查看感染期间捕获的完整数据包来分析Cobalt Strike感染。该分析包括对C2流量的解密。

如果你还没有看,我希望你先阅读下Part 1部分:使用已知的私钥解密流量 - Part 1

在此次分析中,我将使用2021-02-02-Hancitor-with-Ficker-Stealer-and-Cobalt-Strike-and-NetSupport-RAT.pcap.zip文件,该文件是Brad Duncan在他的个人网站分享出来的一个众多恶意软件流量中的其中之一。

我们从最低程度的知识基础开始:这个捕获文件包含Cobalt Strike的beacon与其团队服务器通信的加密HTTP流量。

如果你想了解更多关于Cobalt Strike和其他Cobalt Strike组件方面的只是,强力推荐这个 博客.

第一步:我们使用Wireshark打开这个流量文件,通过stager shellcode查找beacon并进行下载

虽然beacon以多种方式呈现,但是我们可以大致将它分为两类:

  1. 一小段shellcode(几百个字节),通常叫做stager shellcode,这段代码下载整个的beacon。
  2. 一个完全的beacon:一个可以反射性加载的PE文件

在这一步骤中,我们在流量文件中寻找stager shellcode的踪迹:我们通过一下的过滤器来进行筛选:http.request.uri matches "/....$".

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-m3OjRqoT-在这里插入图片描述

图1:Cobalt Strike流量抓包

<
最低0.47元/天 解锁文章
spinningit
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Cobalt Strike使用已知私钥解密流量-Part 1
safehao的博客
03-21 873
Cobalt Strike使用已知私钥解密流量-Part 1 博客系列:Cobalt Strike流量解密 Cobalt Strike: 使用已知私钥解密流量 - Part 2 Cobalt Strike: 使用进程内存解密流量 - Part 3 Cobalt Strike使用已知私钥解密流量-Part 1(当前部分) Cobalt Steike: 解密被掩盖的流量 - Part 4 Cobalt Strike: 解密DNS流量 - Part 5 我们发现6个流氓软件Cobalt Strik
Cobalt Strike(CS)流量分析
小千安全
04-21 6990
为了识别 Cobalt Strike 生成的 HTTPS 流量,可以收集不同 TLS 实现的 JA3S 值,构建 JA3S 签名库,并结合其他特征和行为进行综合分析和判断。同时,反编译CS的源代码也可以得知,92L对应于x86位的木马,而93L对应于x64位的后门。在 HTTPS 协议的 Client Hello 和 Server Hello 阶段,都包含了 JA3S 值传输过程过程中会有 ja3,这个值在系统上是固定的,win10是一种的 但win11是另一种 他们取决于操作系统。
Cobalt Strike解密 DNS 流量——第 5 部分
爱我非你莫属的博客
05-06 2094
博文系列:Cobalt Strike解密流量 Cobalt Strike使用已知私钥解密流量 - 第 1 部分 Cobalt Strike使用已知私钥解密流量 - 第 2 部分 Cobalt Strike使用进程内存解密流量 - 第 3 部分 Cobalt Strike解密混淆流量 - 第 4 部分 Cobalt Strike解密 DNS 流量 - 第 5 部分(当前) Cobalt Strike:内存转储 - 第 6 部分 Cobalt Strike:概述 – 第 7 部分 Cobalt S
探秘安全领域新星:Cobalt Strike退役后的解码勇士
最新发布
gitblog_00020的博客
06-17 321
探秘安全领域新星:Cobalt Strike退役后的解码勇士 项目地址:https://gitcode.com/WBGlIl/CS_Decrypt 在网络安全的暗潮中,有一款开源工具正悄然崛起,旨在为信息安全专家提供强大的解密支持——这便是我们的主角,“RSA与AES解密工具集”。本文将从四个方面深入剖析这一宝藏项目,带领您领略其独特魅力,并探讨其在现代安全防护中的应用潜力。 项目介绍 在技术的海...
# Cobalt Strike: 使用进程内存解密流量-Part 3
爱我非你莫属的博客
05-06 411
博客系列:Cobalt Strike流量解密 Cobalt Strike使用已知私钥解密流量-Part 1 Cobalt Strike: 使用已知私钥解密流量 - Part 2 Cobalt Strike: 使用进程内存解密流量 - Part 3(当前部分) Cobalt Steike: 解密被掩盖的流量 - Part 4 Cobalt Strike: 解密DNS流量 - Part 5 我们使用从内存进程中提取出来的密钥来解密Cobalt Strike流量 本系列博客文章讲解关于使用不同的方法
# Cobalt Strike使用已知私钥解密流量-Part 2
爱我非你莫属的博客
05-06 519
博客系列:Cobalt Strike流量解密 Cobalt Strike使用已知私钥解密流量-Part 1 Cobalt Strike: 使用已知私钥解密流量 - Part 2(当前部分) Cobalt Strike: 使用进程内存解密流量 - Part 3 Cobalt Steike: 解密被掩盖的流量 - Part 4 Cobalt Strike: 解密DNS流量 - Part 5 我们发现6个流氓软件Cobalt Strike私钥,可以用来将C2网络流量进行解密 在这篇文章中,我们将通过
Awesome-CobaltStrikecobaltstrike的相关资源汇总
02-06
2. **工具集成**:Cobalt Strike可以与其他安全工具结合使用,如Metasploit、Empire等,增强其功能和效率。项目中的相关资源会介绍这些集成方法,帮助用户扩展Cobalt Strike的实战能力。 3. **案例分析**:实际的...
GECC:Cobalt Strike-Go External C2 Client
03-15
使用Golang实现的外部C2客户端,非常简单的反向TCP直接连接,替代学习研究。测试样本Main函数中的8.8.8.8:2222修改成外部C2服务端的信息。 非常感谢以下优秀的项目作为本项目支撑: 通过golang实现External C2 。 ...
cobaltstrike:cobaltstrike插件
05-06
cobaltstrike 现在完成的功能 1.定位域管理员(PsLoggedo,PVEFindADUser,netview) 2.信息收集(采用ADfind) 3.权限维持(增加了万能密码,以及白银票据) 4.内网扫描(nbtscan(linux/windows通用)) 5.dump数据库hash(支持...
Malleable-C2-Profiles:钴打击-可锻C2型材。 使用Cobalt Strike https在不同项目中使用的配置文件的集合
05-05
**Cobalt Strike 及其 Malleable C2 概述** Cobalt Strike 是一个高级威胁模拟工具,主要用于红队操作、渗透测试和安全研究。它提供了多种功能,包括Beacon(代理)植入物、C2(命令与控制)通信、社会工程工具等。...
Cobalt-Strike-4.7
12-27
Cobalt Strike 是一款使用java编写,C / S架构的商业渗透软件,适合多人进行团队协作,可模拟APT做模拟对抗,进行内网渗透,是一个为对手模拟和红队行动而设计的平台,主要用于执行有目标的攻击和模拟高级威胁者的后...
Cobalt Strike 的通信过程 & 协议
shawdow_bug的博客
10-29 2799
这是一篇个人学习笔记,想更仔细了解原理,可阅读,主要内容是利用流量分析 Beacon 与 Cobalt Strike 服务端之间的通信过程,包括。当然,流量是加密的,需要一些辅助工具或脚本,其中的功能包括,等等。
Cobalt Strike-修改默认证书、混淆流量-教程
W小哥
08-04 3675
首先,生成exe文件并上线使用whireshark抓取数据包查看一下默认配置下的Cobalt Strike,如下图所示默认情况下会间隔一段时间,请求一次 http://192.168.32.131//7VFJ文件、http://192.168.32.131//j.ad文件查看完整的http流,请求的http://192.168.32.131/7Vfj文件内容,请求http://192.168.32.131/j.ad文件内容。.........
Cobalt Strike使用及拓展
m0_62207482的博客
02-11 1046
在命令终端运行Cobalt Strike ,填写IP地址为192.168.111.128 ,Cobalt Strike启 动时的默认端口为50050 ,昵称可以根据自己的喜好填写,这里写成neo ,密码为 服务端启动时设置的密码admin ,详细配置信息如图11-2所示。执行该命令后便会回连,Cobalt Strike 目标列表中会显示目标服务器IP地址、 出口地址、当前用户、计算机名、当前Beacon的pid号以及响应时间,如图11-10 所示。”进行查询,执行结果如图11-19所示。
Cobalt Strike: 解密混淆过的流量-Part 4
爱我非你莫属的博客
05-06 930
https://blog.nviso.eu/2021/11/17/cobalt-strike-decrypting-obfuscated-traffic-part-4/ 博文系列:Cobalt Strike解密流量 Cobalt Strike使用已知私钥解密流量 - 第 1 部分 Cobalt Strike使用已知私钥解密流量 - 第 2 部分 Cobalt Strike使用进程内存解密流量 - 第 3 部分 Cobalt Strike解密混淆流量 - 第 4 部分(当前) Cobalt Stri
应急响应-CS流量分析&心跳指令&特征提取
siu~
04-13 1170
战后-流量分析-CS
VNCTF2023复现
qq_74655174的博客
02-23 562
VNCTF2023复现
Cobaltstrike dns上线 (观察流量
时光凉春衫薄的博客
12-09 5369
今天做了一个cs-dns的上线过程,发现这个上限的方式还是挺隐蔽的。通过ip查询起来的话很难被追溯到。所有的流量全部是通过dns端口来做控制的。 首先通过exe的木马确保上限 然后在被控端端开启wireshark 随后在控制端下一个命令 下面是我在下达命令之后的一个完整流量截图,其中像这种txt api.xxx post.xxxx之类的都是cs在传输数据的特征。 这个图片其实不大,但是用dns的端口去用来传输数据的话这个就很慢了 流量差不多这个地方才结束吧。截取桌面的这个动作差...
CobaltStrike:渗透测试与高级攻击模拟工具
2. **武器化文档**:CobaltStrike允许安全专家将常规文档转化为恶意载体,例如通过植入恶意JavaApplet、Word文档中的宏,或生成执行Payload的可执行文件。这些用户驱动的攻击手段在渗透测试中十分有效。 3. **鱼叉...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值