Cobalt Strike 的通信过程 & 协议

已于 2024-02-20 14:17:56 修改
阅读量4k 收藏 10
点赞数 5
分类专栏: 渗透测试 工具 文章标签: Redteam
于 2022-10-29 19:35:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shawdow_bug/article/details/127503441
版权
本文利用流量分析Beacon与Cobalt Strike服务端的通信过程,涵盖上线、心跳、命令下发与结果返回。介绍了staged和stageless两种payload类型,详细阐述通信流程各步骤,还说明了加密密钥生成、命令获取与结果发送的解密方法,最后提及相关扩展内容。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

通信流程

下载 Beacon

第一次心跳

 AES 密钥和 HMAC 密钥

获取下发命令

发送命令执行结果

扩展

这篇文章的主要内容是利用流量分析 Beacon 与 Cobalt Strike 服务端之间的通信过程,包括上线、心跳、命令下发与返回命令结果。当然,流量是加密的,需要一些辅助工具或脚本,其中的功能包括提取公钥/私钥数据包解构与字段分析等等。

通信流程

先从 payload 开始说起。

Cobalt Strike 提供了两种类型的 payload —— staged(有阶段的)stageless(无阶段的)有阶段是类似于小马拉大马的过程,先上传一个小马到受害者主机,执行后再通过这个小马下载功能更强大的大马去执行,而无阶段是直接上传大马去执行

比较下来,staged 比 stageless 多一次下载大马的过程,所以前者的通信过程要比后者的多一次请求-响应

这里以 staged payload 做描述,文件名为 beacon.exe,设置的监听器是 windows/beacon_http/reverse_http,即 HTTP 类型的 beacon。

通信的流程如下:

图中描述了 4 次交互过程,如果是 stageless payload 省略第一次请求-响应,换句话说,直接到上线的步骤。以下这 4 次交互过程进行说明:

1. 第一次请求时, beacon.exe 程序请求下载完整的 payload

2. 下好 payload 就直接在内存里运行,也就是说 beacon 开始运行,它做了如下操作:

(1)收集主机信息,生成用于协商的原始密钥 raw key,还有一些其他数据;

(2)用 RSA 公钥加密这些数据,将其存储在请求包的 cookie 中,然后发送给 CS 服务器。

这是第一次心跳,之后 beacon 进入睡眠时间。而CS 服务器收到后,做以下操作:

(1)用 RSA 私钥解开密文,从中提取主机信息和 raw key;

(2)在 target 列表生成一个新的主机;

(3)基于 raw key 生成 AES KEY HMAC KEY,用于后续的加密通信。

3. 睡眠时间过后,beacon 再次发送心跳包,这次发送的目的是询问 CS 服务器是否有命令下发

如果有,CS 服务器将包含命令的数据用 AES 加密得到密文,以及用 HMAC KEY 计算出 hash ,以 (AES 密文+hash) 的格式存放在 response  报文的响应体中。

如果没有,就跟第一次心跳一

最低0.47元/天 解锁文章
CobaltStrike逆向学习系列(1):CS 登陆通信流程分析
SecSource_Stars的博客
01-10 523
这是[信安成长计划]的第 1 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 密码校验 0x02 aggressor.authenticate 0x03 aggressor.metadata 0x04 数据同步 0x05 流程图 0x06 参考文章 先统一一下后续文章所提到的一些名词,以确保大家都在聊同一个东西,文中将 CobaltStrike分为 Controller、TeamServer、Beacon 三端,本文所描述的是 TeamServer 启动之后,从 Controller 登
CobaltStrike的心跳通信
故事讲予风听
07-25 1153
CobaltStrike允许攻击者通过修改配置文件来自定义Beacon的心跳间隔、检查频率等参数,以适应不同的攻击场景和需求。攻击者还可以利用CobaltStrike提供的流量伪装功能来隐藏或伪装Beacon的心跳通信流量,以逃避安全检测。1、cobalt strike malleable C2配置文件:通过cobalt strike maleable C2配置文件可以修改框架内的各种默认值,操作者可以修改Beacon的内存占用,更改其检入的频率等等,甚至可以修改 Beacon的网络流量。
cobalt strike之Beacon的使用(七)
最新发布
2303_78851087的博客
03-20 972
cobalt strike之Beacon的使用(七)
Cobalt Strike|Beacon原理浅析
Ms08067安全实验室
03-06 2200
Hello大家好哇,我是你们可爱的lmn小姐姐,今天我们来研究一下Beacon的一些基础知识,如果有师傅没有看过这个系列之前的文章,可以点击下方图片阅读。Cobalt Strike 作为...
CobaltStrike逆向学习系列(4):Beacon 上线协议分析
无心的博客
01-14 464
这是[信安成长计划]的第 4 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 Beacon 发送 0x02 TeamServer 处理 0x03 流程图 0x04 参考文章 在上一篇讲解 C2Profile 解析的时候,已经提到过如何断入到真正的 beacon.dll 当中,并且也清楚了它执行时的调用顺序,Beacon 上线的所有流程也都是在第二次主动调用 DLLMain 时执行的。 因为主要说明的是上线流程,功能性的暂且不提,但是中间会穿插 C2Profile 的读取操作。 0x01
Cobalt-Strike_4.9.1的应用
2202_75658977的博客
03-19 499
这些是注入到目标系统中的后门,能够执行命令、收集信息等。Beacons可以通过不同的方式进行隐蔽通信(如HTTP/HTTPS、DNS等)。(Team Server):这是服务器端组件,负责管理会话、处理命令、以及与客户端进行通信。:这个组件是渗透测试人员用于与Team Server交互的界面,通常为Java应用程序,允许用户执行各种渗透测试操作。3.使用Cobalt-Strike,实现对Windows用户的账号和密码(hash)的攻击利用。2.完成Cobalt-Strike的安装和连接。
cobalt strike 4.7
06-07
1. ** Beacon 模块**:Beacon是Cobalt Strike的核心组件,它是一个内存中的代理,负责与C2服务器通信并执行命令。在4.7版本中,可能包括了性能优化和新的逃避检测技术,使Beacon更难被安全软件检测到。 2. **Team ...
渗透测试工具-Cobalt Strike
03-21
5. **Malleable C2**:CS的Malleable C2框架允许自定义C2通信协议和行为,提高隐蔽性,避免被防火墙或入侵检测系统阻断。 6. **模块化设计**:CS允许通过插件扩展功能,适应不断变化的攻击手段和技术。 **应用场景*...
cobaltstrike中文支持.zip
05-26
7. **反检测**: CobaltStrike通信协议经过混淆,可以避开一些安全系统的检测,增加攻击的隐蔽性。 由于这是一个中文支持版本,可能包含以下改进: - 界面翻译:所有的菜单、提示和错误消息都进行了中文本地化,...
cobaltstrike 相关dll组件
08-14
CobaltStrike的上下文中,DLL文件通常包含了实现特定功能的代码,这些功能可能涉及到网络通信、进程注入、权限提升等。 1. `winvnc.x64.dll`和`winvnc.x86.dll`:这两个文件是VNC(Virtual Network Computing)的...
溯源反制-远程控制工具-CobaltStrike
m0_62172162的博客
04-25 757
溯源反制-远程控制工具-CobaltStrike
cobalt strike各种beacon的详解(http/https/tcp)
热门推荐
Shanfenglan's blog
08-06 35万+
Beacon Cobalt strike4.0开始就只有这几种beacon,下面对其进行一一讲述,先得创建对应的listener,之后根据创建好的listener生成木马文件,文件运行后返回对应的beacon,至于beacon到底是个什么东西可以看我的这篇文章。这里我们先讲述几种比较简单的易于理解的beacon。 附录 beacon与c2通信逻辑 1.stager的beacon会先下载完整的payload执行,stage则省略这一步 2.beacon进入睡眠状态,结束睡眠状态后用 http-get方
告警流量分析:Cobalt Strike(默认实验文)
soldi_er的博客
10-26 3614
文章目录前言从去除流量特征反推分析流量包200815084549005001_tmp.pcap - 无有用信息200929112751005001_tmp.pcap - 无有用信息流量包协议可疑 IP 地址犯错 - one hour passed201021151312005001_tmp.pcap - 有用信息第一段数据TCP 流所有 description源地址筛选:ip.src == 10.160.161.16源地址筛选:ip.src == 10.150.187.155总结 前言 软件一般都有流量特征
BadUSB超详细制作, 实现CobaltStrike远控上线
xf555er的博客
12-11 3019
BadUSB是利用了USB协议上的漏洞,通过更改USB的内部固件,在正常的USB接口接入后,模拟外置鼠标、键盘的功能,以此来使目标主机执行已经精心构造好的命令。在此过程中不会引起杀毒软件、防火墙的一丝怀疑。而且因为是在固件级别的应用,U盘格式化根本无法阻止其内部代码的执行。
Cobalt Strike中payload Staging含义
总有人间一两风,填我十万八千梦
02-21 2708
目录 前言 stage unstage stage与unstage 前言 在cs中创建完监听器后,我们想生成windows exe后门程序。可以看到能生成两种windows可执行程序,其分别代表stage分阶段和unstage(stageless)不分阶段。那他们分别是什么意思呢? stage 很多攻击框架都是使用分段的shellcode,以防止shellcode过长,覆盖到了上一函数栈帧的数据,导致引发异常。stage是一段很精短的代码,它可以连接下载真正的payload并将其注入内存
『DNS隧道工具之渗透神器』— cobalt strike
localhost01
02-01 8048
一、入坑必读 着重说明:该工具的定位,是一个后渗透协同APT工具,主要用于内网的渗透测试和作为apt的终端控制。它不是一个单纯的DNS隧道工具,把它放在此处讲,只是因为它也支持DNS隧道功能而已,所以下文也只会讲讲它的DNS隧道能力! 1、简介 cobalt strike(以下简称CS)作为一款协同APT工具,功能十分强大,针对内网的渗透测试和作为容易的控制终端功能,使其变成众多APT组织的首选。......
内网神器cobaltstrike使用教程
zkaqlaoniao的博客
12-15 4514
系统环境:需要java环境Oracle Java 1.8,Oracle Java 11下载解压就可以使用首先要运行服务端,如果你有个外网的机器,可以把服务端运行于外网的机器上,也可以运行于本地服务端启动命令windows运行teamserver.batlinux需要有足够权限,可以通过chmod +x teamserver 来提高权限这里为设定一个服务端,前面为服务端所在机器的ip ,后面为密码启动服务端后,我们就可以启动客户端去连接了。
CobaltStrike逆向学习系列(2):Stageless Beacon 生成流程分析
SecSource_Stars的博客
01-10 794
这是[信安成长计划]的第 2 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 Patch Beacon 0x02 Patch Loader 0x03 文件对比 0x04 流程图 CobaltStrike 的 Beacon 生成分为两种,Stage Beacon 和 Stageless Beacon,这次主要来说明的是无阶段的 Stageless Beacon,最终文件比较大,不用从网络中来拉取。 本文的分析流程使用的 payload 是 windows/beacon_http/rever
CobaltStrike渗透测试指南
"CobaltStrike.pdf - 一篇关于Cobalt Strike的详细教程文档,主要涵盖其简介、基本使用、模块介绍、脚本使用和扩展功能,特别提到了Malleable C2和External C2等内容。" Cobalt Strike是一款广泛应用于网络安全领域...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值