告警流量分析:Cobalt Strike(默认实验文)

最新推荐文章于 2024-05-17 14:42:20 发布
最新推荐文章于 2024-05-17 14:42:20 发布
阅读量2.8k 收藏 7
点赞数
分类专栏: 只求慢慢进步 文章标签: c语言 https ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/soldi_er/article/details/120966414
版权

文章目录

前言

软件一般都有流量特征,比如 SQLMap 默认有请求头指纹,这种情况分析 http 流量可以找到哪些包来自 SQLMap,通过 UA 插件修改该指纹就是隐藏特征 。Cobalt Strike 也有默认证书、流量特征等,通过这些数据来判断是否被 Cobalt Strike 控制。

从去除流量特征反推

参考:

Cobalt Strike 服务端和客户端是通过 SSL 加密通讯的,SSL配置文件和代理配置文件由于默认配置,导致 keystore 文件内容通常被用于防火墙识别。

Cobalt Strike 本地密钥文件:cobaltstrike.store

SSL 证书流量特征:
keystore type: jks
Alias name: cobaltstrike
Own: CN=Major Cobalt Strike
Issuer: CN=Major Cobalt Strike

  1. CS 默认端口:50050
  2. 默认 C/S 端通讯证书:字段和固定哈希值识别
  3. HTTP 流量特征:请求的固定地址,请求头等?

在这里插入图片描述

分析流量包

200815084549005001_tmp.pcap - 无有用信息

The file “200815084549005001_tmp.pcap” isn’t a capture file in a format Wireshark understands.
在这里插入图片描述

200929112751005001_tmp.pcap - 无有用信息
流量包协议

文件共有 40 个包,使用的协议都是 TCP,没有 Http 流量。

可疑 IP 地址

公网地址 10.160.161.18 ,访问 微步在线威胁情报社区 查询显示 安全,不是恶意服务器。

Nmap 探测 50050 端口,显示 filtered,默认探测全是 filtered,不会是 PC 吧,但 PC 一般拿不到 A 段地址。
使用 CS 客户端尝试连接该 Server 端,返回 Connection timed out
测试网络连接,发现 ping 不通,应该有防火墙。
查看 TCP 流量包,硬件地址是 Dell_e8:1e:b5(f0:d4:e2:e8:1e:b5)。

跟踪 TCP 流,基本都显示如下的状态,搜索不到关键词 cobalt
在这里插入图片描述

犯错 - one hour passed

参考:

然后在这个数据包卡了一个小时,思考 TCP 通信方式应该是可以执行命令的。想找 Cobalt Strike 的通信模型,确定 TCP 通信是否能对得上……
在这里插入图片描述

在这里插入图片描述
看到了 Beacon 的通信方式又怎样,这个数据包基本没有价值。对着数据包神游一个小时,直到我打开下一个数据包追踪 TCP 流……气蠢中夹杂一丝欣喜。

在这里插入图片描述

201021151312005001_tmp.pcap - 有用信息

流量包协议:文件共有 61 个包,使用的协议都是 TCP,没有 Http 流量。追踪 TCP 数据流,发现与 Cobalt Strike 相关数据。

第一段数据

追踪组合 TCP 数据流,得到的第一段数据如下,跨越长度为 3-4 条记录,属于攻击者向服务器发送的数据包。

{
  "author": [
    "Elastic"
  ],
  "description": "Cobalt Strike is a threat emulation platform commonly modified and used by adversaries to conduct network attack and exploitation campaigns. This rule detects a network activity algorithm leveraged by Cobalt Strike implant beacons for command and control.",
  "false_positives": [
    "This rule should be tailored to either exclude systems, as sources or destinations, in which this behavior is expected."
  ],
  "index": [
    "packetbeat-*"
  ],
  "language": "lucene",
  "license": "Elastic License",
  "name": "Cobalt Strike Command and Control Beacon",
  "note": "This activity has been observed in FIN7 campaigns.",
  "query": "event.category:(network OR network_traffic) AND type:(tls OR http) AND network.transport:tcp AND destination.domain:/[a-z]{3}.stage.[0-9]{8}\\..*/",
  "references": [
    "https://blog.morphisec.com/fin7-attacks-restaurant-industry",
    "https://www.fireeye.com/blog/threat-research/2017/04/fin7-phishing-lnk.html"
  ],
  "risk_score": 73,
  "rule_id": "cf53f532-9cc9-445a-9ae7-fced307ec53c",
  "severity": "high",
  "tags": [
    "Elastic",
    "Network",
    "Threat Detection",
    "Command and Control"
  ],
  "threat": [
    {
      "framework": "MITRE ATT&CK",
      "tactic": {
        "id": "TA0011",
        "name": "Command and Control",
        "reference": "https://attack.mitre.org/tactics/TA0011/"
      },
      "technique": [
        {
          "id": "T1071",
          "name": "Application Layer Protocol",
          "reference": "https://attack.mitre.org/techniques/T1071/"
        },
        {
          "id": "T1568",
          "name": "Dynamic Resolution",
          "reference": "https://attack.mitre.org/techniques/T1568/",
          "subtechnique": [
            {
              "id": "T1568.002",
              "name": "Domain Generation Algorithms",
              "reference": "https://attack.mitre.org/techniques/T1568/002/"
            }
          ]
        }
      ]
    }
  ],
  "timestamp_override": "event.ingested",
  "type": "query",
  "version": 3
}

分析该数据字典,共有 18 个键

18 键名键值
author
descriptionThis rule 检测一个 C2 beacon 可利用的网络活动算法
false_positives
index
languagelucene,Apache发布的开源全文检索引擎工具包
licenseElastic License?
nameCS C2 Beacon
note此活动已在 FIN7 活动中观察到,FIN7是一个国际APT组织
query
references
risk_score73
rule_idcf53f532-9cc9-445a-9ae7-fced307ec53c,这是平台检测规则
severity
tags
threat
timestamp_override
type
version
TCP 流所有 description
rule_iddescription
cf53f532-9cc9-445a-9ae7-fced307ec53c检测 C2 beacon 可利用的网络活动算法
e7075e8d-a966-458e-a183-85cd331af255检测 CS 默认 TLS 证书的使用
66883649-f908-4a5b-a1e0-54090a1d3a32使用 Web 服务混入合法攻击流量
6ea71ff0-9e95-475b-9506-2580d1ce6154检测内部网络客户端何时将 DNS 流量直接发送到 Internet
无,后半段数据大量 function()标识大量 (15) nslookup.exe 执行,其具有来自同一主机的显式查询类型
源地址筛选:ip.src == 10.160.161.16

同上【TCP 流所有 description】,组合得到 5 个完整的 TCP 数据包。

源地址筛选:ip.src == 10.150.187.155

发送 TCP 数据流的数据长度都为0。
在这里插入图片描述

总结

某个防护设备更新了 5条 与 cobalt strike 相关的检测规则,导致误报。

没有推测出是哪家威胁防护平台的规则。

区块链市场观察家
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
149.网络安全渗透测试—[Cobalt Strike系列]—[HTTP Beacon重定器/代理服务器/流量走向分析]
qwsn
03-21 3866
一、Cobalt Strike 重定器 1、Cobalt Strike 重定器简介 2、重定器用到的端口转发工具 二、cobalt strike重定器实验 1、实验背景 2、实验过程 3、流量分析
Cobalt Strike(CS)流量分析
小千安全
04-21 6944
为了识别 Cobalt Strike 生成的 HTTPS 流量,可以收集不同 TLS 实现的 JA3S 值,构建 JA3S 签名库,并结合其他特征和行为进行综合分析和判断。同时,反编译CS的源代码也可以得知,92L对应于x86位的木马,而93L对应于x64位的后门。在 HTTPS 协议的 Client Hello 和 Server Hello 阶段,都包含了 JA3S 值传输过程过程中会有 ja3,这个值在系统上是固定的,win10是一种的 但win11是另一种 他们取决于操作系统。
内网神器Cobalt Strike隐藏特征流量混淆.
2301_80115097的博客
04-30 698
由于上次还没有写好https上线的东西,今天加班加点的弄出来了。本内容如有错误,望及时告知,以免误导他人.
Cobalt Strike流量特征分析
weixin_52741673的博客
07-21 4503
cobalt strike流量特征分析
常见流量特征
最新发布
admin的博客
05-17 940
1、特殊关键字:SQL关键字,如SELECT, WHERE, ORDER BY, UNION, UPDATE,DELETE,INSERT等,这些通常用于构建或修改查询系统函数,如USER(), @@VERSION(在MySQL中),这些可能用于获取数据库版本或当前用户等敏感信息特定数据库的函数或特性,如information_schema(用于获取数据库结构信息)、extractvalue(XML相关函数,有时用于绕过某些过滤)、floor(在盲注中用于产生条件差异)等。
cobaltstrike流量特征
RestoreJustice的博客
09-17 534
cobaltstrike是红队攻防中常用的工具,用以连接目标和cobaltstrike服务器,方便红队进一步对目标渗透,在双方通信过程中cobaltstrike流量具有很明显的特征
告警流量特征分析(护网蓝初面试干货)
Welcome To Myon'Blog !
06-09 5948
一、流量特征 1、SQL注入 2、XSS 3、挖矿行为 二、webshell流量特征 1、中国菜刀 2、蚁剑 3、冰蝎 三、对告警流量分析 1、信息泄露 2、SQL注入 3、件上传 4、XSS 5、代码执行
Cobalt Strike:解密 DNS 流量——第 5 部分
爱我非你莫属的博客
05-06 2089
系列:Cobalt Strike:解密流量 Cobalt Strike:使用已知私钥解密流量 - 第 1 部分 Cobalt Strike:使用已知私钥解密流量 - 第 2 部分 Cobalt Strike:使用进程内存解密流量 - 第 3 部分 Cobalt Strike:解密混淆流量 - 第 4 部分 Cobalt Strike:解密 DNS 流量 - 第 5 部分(当前) Cobalt Strike:内存转储 - 第 6 部分 Cobalt Strike:概述 – 第 7 部分 Cobalt S
cobaltstrike:cobaltstrike插件
05-06
cobaltstrike 现在完成的功能 1.定位域管理员(PsLoggedo,PVEFindADUser,netview) 2.信息收集(采用ADfind) 3.权限维持(增加了万能密码,以及白银票据) 4.内网扫描(nbtscan(linux/windows通用)) 5.dump数据库hash(支持...
Awesome-CobaltStrikecobaltstrike的相关资源汇总
02-06
3. **案例分析**:实际的渗透测试案例能帮助我们了解Cobalt Strike在不同场景下的应用,学习如何在合法范围内模拟黑客攻击,发现并修复组织的安全漏洞。 4. **反检测策略**:由于Cobalt Strike的广泛使用,反病毒...
GECC:Cobalt Strike-Go External C2 Client
03-15
GECC 进行外部C2客户端实施以打击钴。 使用Golang实现的外部C2客户端,非常简单的反向TCP直接连接,替代学习研究。测试样本Main函数中的8.8.8.8:2222修改成外部C2服务端的信息。 非常感谢以下优秀的项目作为本项目...
SecondaryDevCobaltStrike:二次开发过后的CobaltStrike,版本为4.1.在原来CobaltStrike的基础上修改多处特征,解决流量查杀问题
04-16
先赞后看,已成习惯.如有后门,我必完蛋:star: 关于二次开发后的CobaltStrike 默认CobaltStrike内存在多处流量特征,在马儿与服务端建立连接时进行流量交互.此间存在多处可疑特征已被各大杀软记录在册 如:卡巴斯基,诺顿,迈克菲等,但国内杀软并无此功能. 所以在客户端进行免杀的同时服务端在流量交互方面也需要特征去除,才产生了二次开发后CobaltStrike. 此次二开为CobaltStrike4.1版本. 效果截图 迈克菲截图 卡巴斯基截图 诺顿截图 注:所有的CobaltStrike上线未被查杀都基于客户端的马儿未被AV静态查杀的前提下,达到了动态免杀. 使用方法 1.将cobaltstrike.jar件替换服务端的原有jar 2.将cobaltstrike.jar件替换客户端的原有jar 3.请确保服务端或客户端的Java环境在Jdk10以上(包含JDK10) 使用中
365CS:CobaltStrike相关内容
03-17
部分脚本在CobaltStrike4.0以下无法运行,本项目只考虑考虑兼容CobaltStrike4.0。但是重新学习的态度,对于某些优秀的脚本无法兼容4.0也进行收集整理。CobaltStrike思想是红队的未来。 原修订本DMCA政策被删除。现...
Cobaltstrike来源:Cobaltstrike4.1来源
03-04
Cobaltstrike4.1来源这是反编译后的Cobaltstrike4.1源码,修改了一点反编译后的bug,teamserver与agressor均能正常调试使用,若想自己修改调试那个件只需把该件复制到src下即可。 这是魔改Cobaltstrike4.1系列的...
基于某商产品WeblogicT3反序列化告警流量分析
蚁景网安学院
07-12 645
护网时平时遇到的针对weblogic等中间件漏洞利用以及漏洞扫描的很多,但是我看到某态势的流量的时候发现态势的探针的监测不单单是基于披露的poc或者exp来产生的告警
kali启动cobaltstrike_Cobalt Strike绕过流量审查
weixin_39533174的博客
12-03 988
Cobalt Strike绕过流量审查声明:请勿利用章内的相关技术从事非法测试,如因此产生的一切不良后果与章作者及本公众号无关!Cobalt Strike简介Cobalt Strike is software for Adversary Simulations and Red Team Operations. Cobalt Strike 简称CS。CS是一款优秀的内网渗透工具,可以在...
# Cobalt Strike: 使用进程内存解密流量-Part 3
爱我非你莫属的博客
05-06 407
博客系列:Cobalt Strike流量解密 Cobalt Strike:使用已知的私钥解密流量-Part 1 Cobalt Strike: 使用已知的私钥解密流量 - Part 2 Cobalt Strike: 使用进程内存解密流量 - Part 3(当前部分) Cobalt Steike: 解密被掩盖的流量 - Part 4 Cobalt Strike: 解密DNS流量 - Part 5 我们使用从内存进程中提取出来的密钥来解密了Cobalt Strike流量 本系列博客章讲解关于使用不同的方法
CobaltStrike 流量隐藏
qq_43615820的博客
06-26 1037
cobalt strike 特征隐藏;
Cobaltstrike去除流量特征
chaojixiaojingang
08-02 2376
普通CS没有做流量混淆会被防火墙拦住流量,所以偶尔会看到CS上线了机器但是进行任何操作都没有反应,这里尝试一下做流量混淆。参考网上的章,大部分是两种方法,一种更改teamserver 里面与CS流量相关的内容,一种是利用Keytool工具生成新的store证书,我们需要做的修改大概为3个地方: 1)修改默认端口 2)去除store证书特征 3)修改profile 1.修改默认端口 编辑teamserver件,更改server po...
cobalt strike分析
10-10
Cobalt Strike是一个针对渗透测试和红队行动的强大工具集,可用于评估和提高组织的安全性。下面是一些关于Cobalt Strike的基本信息和分析: 1. Cobalt Strike的功能:Cobalt Strike具有多种功能,包括网络扫描、漏洞利用、渗透测试、社会工程学攻击、远程访问和横向移动等。 2. 模块化架构:Cobalt Strike采用模块化的架构,使用户可以根据需要选择和配置不同的模块。这使得Cobalt Strike非常灵活和可定制。 3. C&C服务器:Cobalt Strike使用命令和控制(C&C)服务器作为与受感染系统通信的中介。攻击者可以使用C&C服务器发送命令和接收结果。 4. 威胁行为:Cobalt Strike可以用于进行多种威胁行为,如横向移动、远程渗透、数据泄露、密码破解等。它还支持使用Metasploit框架进行漏洞利用。 5. 检测:由于Cobalt Strike的功能和灵活性,它可能会被安全工具和防御机制检测到。因此,在使用Cobalt Strike时需要采取适当的防御措施,以减少被检测和阻止的风险。 6. 防御措施:为了防止Cobalt Strike的滥用,组织可以采取一些防御措施,如监视网络流量、实施安全策略、更新和修补系统漏洞等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值