Cobalt Strike 的通信过程 & 协议

已于 2024-02-20 14:17:56 修改
阅读量2.7k 收藏 9
点赞数 4
分类专栏: 渗透测试 工具 文章标签: Redteam
于 2022-10-29 19:35:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shawdow_bug/article/details/127503441
版权

目录

通信流程

下载 Beacon

第一次心跳

 AES 密钥和 HMAC 密钥

获取下发命令

发送命令执行结果

扩展

这篇文章的主要内容是利用流量分析 Beacon 与 Cobalt Strike 服务端之间的通信过程,包括上线、心跳、命令下发与返回命令结果。当然,流量是加密的,需要一些辅助工具或脚本,其中的功能包括提取公钥/私钥数据包解构与字段分析等等。

通信流程

先从 payload 开始说起。

Cobalt Strike 提供了两种类型的 payload —— staged(有阶段的)stageless(无阶段的)有阶段是类似于小马拉大马的过程,先上传一个小马到受害者主机,执行后再通过这个小马下载功能更强大的大马去执行,而无阶段是直接上传大马去执行

比较下来,staged 比 stageless 多一次下载大马的过程,所以前者的通信过程要比后者的多一次请求-响应

这里以 staged payload 做描述,文件名为 beacon.exe,设置的监听器是 windows/beacon_http/reverse_http,即 HTTP 类型的 beacon。

通信的流程如下:

图中描述了 4 次交互过程,如果是 stageless payload 省略第一次请求-响应,换句话说,直接到上线的步骤。以下这 4 次交互过程进行说明:

1. 第一次请求时, beacon.exe 程序请求下载完整的 payload

2. 下好 payload 就直接在内存里运行,也就是说 beacon 开始运行,它做了如下操作:

(1)收集主机信息,生成用于协商的原始密钥 raw key,还有一些其他数据;

(2)用 RSA 公钥加密这些数据,将其存储在请求包的 cookie 中,然后发送给 CS 服务器。

这是第一次心跳,之后 beacon 进入睡眠时间。而CS 服务器收到后,做以下操作:

(1)用 RSA 私钥解开密文,从中提取主机信息和 raw key;

(2)在 target 列表生成一个新的主机;

(3)基于 raw key 生成 AES KEY HMAC KEY,用于后续的加密通信。

3. 睡眠时间过后,beacon 再次发送心跳包,这次发送的目的是询问 CS 服务器是否有命令下发

如果有,CS 服务器将包含命令的数据用 AES 加密得到密文,以及用 HMAC KEY 计算出 hash ,以 (AES 密文+hash) 的格式存放在 response  报文的响应体中。

如果没有,就跟第一次心跳一样,返回响应体为空的 response 报文。

4. 如果 beacon 收到命令,就在受害者主机上执行。执行完后,将命令执行结果发送给 CS 服务器,并重新进入睡眠时间

上述过程对应的流量:

下载 Beacon

双击 beacon.exe 第一次请求的流量:

请求 URI 是 4 个随机字符,请求它就会从 CS 服务器监听的端口下载 beacon,Response 里的数据就是 beacon。用 1768.py 解析其中的配置数据,并提取 RSA 公钥、CS 服务器的地址、监听器的端口等等:

这里 RSA 公钥是 16 进制,有些工具要求 base64 编码才能使用,这就要先转换成 2 进制,再用 base64 编码。这里用 python 完成这些步骤:

import binascii
import base64

b = binascii.a2b_hex(b"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")

base64.b64encode(b)

 注意,后面一连串的 "AAA..." 是填充数据,要去掉的。

第一次心跳

下载的 beacon 直接在内存中运行起来,此时会发送第一个心跳包,用于上线:

 Cookie 里的数据包含了受害者主机的信息,这部分数据用了 RSA 公钥加密。如果我们想看看原始数据是什么样的,就需要对应的 RSA 私钥才能解开,但从攻击者的角度是没法拿到 RSA 私钥的。这里为了分析,用 Dump.java 程序从 .cobaltstrike.beacon_keys 提取私钥。

 注意,要把 Dump.java 放在 cs 根目录下,再执行命令: 

java -cp "cobaltstrike.jar" Dump.java

然后用私钥把 cookie 里的数据解开: 

 用 cs-decrypt-metadata.py 脚本也可以,不过要先把 RSA 私钥转换成 16 进制:

import base64
base64.b64decode("<RSA 私钥>").hex()

然后执行 cs-decrypt-metadata.py 解开数据:

python cs-decrypt-metadata.py -p <RSA 数字私钥> H0K9Mco+gUT3pTZyd5p13I1SYigQx3uSvk5tjIphuVfF/o4yyrhx4V0B00DwwrHVaavoCmpmcJEVC1jpslLuNwj7VwyJbD8IF82vmINNW2hA11uEVqfdDiTmI6R6Nl2vjB4Nkkft1hxUh3o0ophkho8I41Srgi4QehXUKlmGeq4=

解密结果:

第一部分是协商的密钥,后面会讲述如何利用 raw key 生成 AES 密钥和 HMAC 密钥的。第二部分是主机信息,包含主机名、用户名、beacon 进程名。

 AES 密钥和 HMAC 密钥

在讲述获取下发命令之前,先明白 AES 密钥和 HMAC 密钥是如何生成的,因为这两个密钥将用于后续 CS 和 beacon 之间的加密通信。上一节得到了 3 个 key:

Raw key:  342ec70264b61f9749aa17558239eddb
aeskey:  e4e61a550d0cec57179ebbdb14ab6952
hmackey: 6967ae5499b973f13e0b6bfc012cda27

AES 密钥和 HMAC 密钥是基于 raw key 生成的,使用的是 sha256 算法:

# 将十六进制字符串转换成二进制 byte
b = binascii.a2b_hex(b"342ec70264b61f9749aa17558239eddb")
# 计算它的 sha256 摘要
hashlib.sha256(b).digest().hex()

计算结果:

获取下发命令

每次睡眠时间结束,beacon 就会主动请求一次 CS 服务器,看看有没有下发命令。在 CS 客户端里执行 “shell whoami” 命令:

 就会抓取到这样的流量:

上面的 Request 报文是 beacon 发送的心跳包,与上线时第一次发送的基本一致。下面的 Response 报文返回了加密数据,这里面就有下发的命令。

加密数据分成两部分,第一部分是 AES 密文的,第二部分是 HMAC 签名,用于校验报文的完整性。密码算法是 CBC 模式 AES。

下面的脚本是我根据 cs-mitm.py 改写的:

import binascii
import Crypto.PublicKey.RSA
import Crypto.Cipher.PKCS1_v1_5
import Crypto.Cipher.AES
import hashlib
import hmac

# 密码算法的初始向量
CS_FIXED_IV = b'abcdefghijklmnop'

def decrypt(aeskey, hmackey, data):

    # 密钥与密文
    aeskey = bytes.fromhex(aeskey)
    hmackey = bytes.fromhex(hmackey)
    data = bytes.fromhex(data)
    if aeskey == None:
        return data
    
    print("加密数据:", data.hex())

    # 截取 AES 密文
    encryptedData = data[:-16]
    print("AES 密文:", encryptedData.hex())

    # 截取加密数据的后 16 位用于校验密文的完整性
    hmacSignatureMessage = data[-16:]
    print("HMAC 签名:", hmacSignatureMessage.hex())

    # 校验密文的完整性
    hmacsSgnatureCalculated = hmac.new(hmackey, encryptedData, hashlib.sha256).digest()[:16]
    if hmacSignatureMessage != hmacsSgnatureCalculated:
        raise Exception('HMAC signature invalid')

    # AES 解密
    cypher = Crypto.Cipher.AES.new(aeskey, Crypto.Cipher.AES.MODE_CBC, CS_FIXED_IV)
    decryptedData = cypher.decrypt(encryptedData)
    return decryptedData


data = decrypt("e4e61a550d0cec57179ebbdb14ab6952", "6967ae5499b973f13e0b6bfc012cda27", "e702026c696bf56ef54f1726a3db31c76fcd45ab045443fc711183859057acf82ee7687017ec95972f75c035f8c703f71a93aa3baa1457ccd1f01984ef054f24")

print("AES 明文:", data)

 解密结果:

发送命令执行结果

当 beacon 接收到下发的命令并执行完成,将会把结果 POST 发送给 CS 服务器,流量如下:

 POST 请求体内包含了执行结果,也是用 AES 加密。同样地,payload 后 16 位字节是 HMAC 签名,不属于 AES 密文。此外,前 4 位字节也不属于 AES 密文。所以,这里只需要对前面的脚本修改一下,从第 4 个字节开始截取即可,这里就不粘贴代码了。

 解密结果:

 命令执行结果出现在明文中,解密成功。

扩展

Cobalt Strike Metadata Encryption and Decryption​​​​​​​

如何从进程转储文件提取 AES 密钥和 HMAC?Cobalt Strike: Using Process Memory To Decrypt Traffic – Part 3 – NVISO Labs

friEnd`
关注
  • 4
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cobalt strike 4.7
06-07
1. ** Beacon 模块**:Beacon是Cobalt Strike的核心组件,它是一个内存中的代理,负责与C2服务器通信并执行命令。在4.7版本中,可能包括了性能优化和新的逃避检测技术,使Beacon更难被安全软件检测到。 2. **Team ...
CobaltStrike4.1
03-10
这包括更新的通信协议、更少的网络流量特征,以及对内存中的Beacon活动的优化。 2. **增强的持久化机制**:4.1版加强了Beacon的持久化策略,确保即使在系统重启后也能保持活动状态,提高了红队行动的连续性。 3. *...
Cobalt Strike证书修改绕过流量审查
The current road is different, love needs to distinguish between right and wrong
06-07 951
简介 keytool: 是一个java数据证书的管理工具,Keytool将密钥 和 证书 存放在一个称为 keystore 的文件中,即.store后缀的文件中。 Cobalt Strike 服务端和客户端是通过 SSL 加密通讯的,默认的SSL配置文件和代理配置文件导致 store 文件内容被防火墙识别并拦截。 查看Cobalt Strike证书 默认的秘钥库口令是 123456 CobaltStrike默认的store文件中的Alias name 、Onwer 和 Issuer 的信息,
BadUSB超详细制作, 实现CobaltStrike远控上线
xf555er的博客
12-11 2423
BadUSB是利用了USB协议上的漏洞,通过更改USB的内部固件,在正常的USB接口接入后,模拟外置鼠标、键盘的功能,以此来使目标主机执行已经精心构造好的命令。在此过程中不会引起杀毒软件、防火墙的一丝怀疑。而且因为是在固件级别的应用,U盘格式化根本无法阻止其内部代码的执行。
网络安全最全Cobalt Strike使用教程一_cobaltstrike,2024年最新大厂面试必备技能
最新发布
2301_77033672的博客
05-09 746
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
CobaltStrike逆向学习系列(1):CS 登陆通信流程分析
无心的博客
01-14 431
这是[信安成长计划]的第 1 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 密码校验 0x02 aggressor.authenticate 0x03 aggressor.metadata 0x04 数据同步 0x05 流程图 0x06 参考文章 先统一一下后续文章所提到的一些名词,以确保大家都在聊同一个东西,文中将 CobaltStrike分为 Controller、TeamServer、Beacon 三端,本文所描述的是 TeamServer 启动之后,从 Controller 登
Cobalt Strike|Beacon原理浅析
Ms08067安全实验室
03-06 1965
Hello大家好哇,我是你们可爱的lmn小姐姐,今天我们来研究一下Beacon的一些基础知识,如果有师傅没有看过这个系列之前的文章,可以点击下方图片阅读。Cobalt Strike 作为...
CobaltStrike逆向学习系列(4):Beacon 上线协议分析
无心的博客
01-14 392
这是[信安成长计划]的第 4 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 Beacon 发送 0x02 TeamServer 处理 0x03 流程图 0x04 参考文章 在上一篇讲解 C2Profile 解析的时候,已经提到过如何断入到真正的 beacon.dll 当中,并且也清楚了它执行时的调用顺序,Beacon 上线的所有流程也都是在第二次主动调用 DLLMain 时执行的。 因为主要说明的是上线流程,功能性的暂且不提,但是中间会穿插 C2Profile 的读取操作。 0x01
溯源反制-远程控制工具-CobaltStrike
m0_62172162的博客
04-25 619
溯源反制-远程控制工具-CobaltStrike
cobalt strike各种beacon的详解(http/https/tcp)
热门推荐
Shanfenglan's blog
08-06 35万+
Beacon Cobalt strike4.0开始就只有这几种beacon,下面对其进行一一讲述,先得创建对应的listener,之后根据创建好的listener生成木马文件,文件运行后返回对应的beacon,至于beacon到底是个什么东西可以看我的这篇文章。这里我们先讲述几种比较简单的易于理解的beacon。 附录 beacon与c2通信逻辑 1.stager的beacon会先下载完整的payload执行,stage则省略这一步 2.beacon进入睡眠状态,结束睡眠状态后用 http-get方
cobaltstrike 相关dll组件
08-14
CobaltStrike的上下文中,DLL文件通常包含了实现特定功能的代码,这些功能可能涉及到网络通信、进程注入、权限提升等。 1. `winvnc.x64.dll`和`winvnc.x86.dll`:这两个文件是VNC(Virtual Network Computing)的...
cobalt strike笔记-常用beacon命令.pdf
04-03
cobalt strike笔记-常用beacon命令
Cobalt Strike 4.5
08-05
新版本可能采用了更新的加密算法和通信协议,以对抗网络流量分析和检测工具。这使得攻击者能够在不被发现的情况下传输数据和指令。 另外,Cobalt Strike支持多种平台,包括Windows、macOS和Linux,这意味着攻击者...
cobaltstrike4.0.zip
03-10
Cobalt Strike是一款高级的渗透测试工具,广泛用于模拟攻击和红队操作,以评估组织的安全防御能力。在4.0版本中,它带来了许多新功能和改进,以提升安全专业人员的效率和隐蔽性。 1. **Cobalt Strike核心升级**: ...
告警流量分析:Cobalt Strike(默认实验文)
soldi_er的博客
10-26 2903
文章目录前言从去除流量特征反推分析流量包200815084549005001_tmp.pcap - 无有用信息200929112751005001_tmp.pcap - 无有用信息流量包协议可疑 IP 地址犯错 - one hour passed201021151312005001_tmp.pcap - 有用信息第一段数据TCP 流所有 description源地址筛选:ip.src == 10.160.161.16源地址筛选:ip.src == 10.150.187.155总结 前言 软件一般都有流量特征
『DNS隧道工具之渗透神器』— cobalt strike
localhost01
02-01 7868
一、入坑必读 着重说明:该工具的定位,是一个后渗透协同APT工具,主要用于内网的渗透测试和作为apt的终端控制。它不是一个单纯的DNS隧道工具,把它放在此处讲,只是因为它也支持DNS隧道功能而已,所以下文也只会讲讲它的DNS隧道能力! 1、简介 cobalt strike(以下简称CS)作为一款协同APT工具,功能十分强大,针对内网的渗透测试和作为容易的控制终端功能,使其变成众多APT组织的首选。......
内网神器cobaltstrike使用教程
zkaqlaoniao的博客
12-15 948
系统环境:需要java环境Oracle Java 1.8,Oracle Java 11下载解压就可以使用首先要运行服务端,如果你有个外网的机器,可以把服务端运行于外网的机器上,也可以运行于本地服务端启动命令windows运行teamserver.batlinux需要有足够权限,可以通过chmod +x teamserver 来提高权限这里为设定一个服务端,前面为服务端所在机器的ip ,后面为密码启动服务端后,我们就可以启动客户端去连接了。
# Cobalt Strike:使用已知的私钥解密流量-Part 1
爱我非你莫属的博客
05-06 704
博客系列:Cobalt Strike:流量解密 Cobalt Strike:使用已知的私钥解密流量-Part 1(当前部分) Cobalt Strike: 使用已知的私钥解密流量 - Part 2 Cobalt Strike: 使用进程内存解密流量 - Part 3 Cobalt Steike: 解密被掩盖的流量 - Part 4 Cobalt Strike: 解密DNS流量 - Part 5 我们发现6个流氓软件Cobalt Strike的私钥,可以用来将C2网络流量进行解密 Co
Cobalt Strike几种不常见的上线方式
weixin_38168081的博客
08-12 3598
#Cobalt Strike新增了几种上线方式 介绍:Staged 和 Stageless 的区别. 前者的实际功能只是和 C2 建立连接并接收 Payload, 然后加载执行, 而 Stageless 直接省去了接收 Payload 的步骤. Stageless 生成除了的 Payload 都会比 Staged 类型的要大很多, 而且包含了特征明细 一.windows/b...
Metasploit和Cobalt Strike生成木马的过程
03-25
1. Metasploit生成木马的过程 Metasploit是一个常用的网络安全工具,它可以帮助渗透测试人员和安全研究人员生成各种漏洞利用和后门程序。以下是使用Metasploit生成木马的一般过程: 步骤1:启动Metasploit控制台并选择木马生成模块 Metasploit控制台提供了各种服务和模块,可以生成不同类型的木马程序。要使用Metasploit生成木马,需要首先启动控制台,然后选择木马生成模块。可以使用“msfconsole”命令启动控制台,然后使用“search”命令搜索木马生成模块。 步骤2:配置木马生成参数 选择木马生成模块后,需要配置一些参数才能生成相应的木马程序。这些参数可能包括攻击目标信息、连接方式、监听端口、处理连接的话柄等等。根据需要,可以逐一配置这些参数,然后生成木马。 步骤3:生成木马并保存 完成配置参数后,可以使用“generate”命令生成木马程序。然后,可以使用“save”命令将生成的木马保存到本地目录中。 2. Cobalt Strike生成木马的过程 Cobalt Strike是一款高级的渗透测试工具,可以帮助渗透测试人员生成各种后门程序、木马程序等。以下是使用Cobalt Strike生成木马的一般过程: 步骤1:启动Cobalt Strike客户端并选择木马生成器 启动Cobalt Strike客户端后,可以看到各种功能按钮和命令。要使用Cobalt Strike生成木马,需要选择“payload generator”按钮打开木马生成器。 步骤2:配置木马生成参数 在木马生成器界面,需要配置一些参数才能生成相应的木马程序。这些参数可能包括攻击目标信息、连接方式、监听端口、加密方式等等。根据需要,可以逐一配置这些参数,然后生成木马。 步骤3:生成木马并保存 完成参数配置后,可以使用“generate”命令生成木马程序。然后,可以使用“save”命令将生成的木马保存到本地目录中。同时,也可以选择将木马发送到受攻击者的计算机上。 总之,Metasploit和Cobalt Strike都是非常强大的网络安全工具,可以帮助渗透测试人员和安全研究人员生成各种漏洞利用和后门程序,提高安全测试和研究效率。在使用这些工具时,需要谨慎操作,避免对他人或自己造成不必要的损失。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值