Cobalt Strike防溯源系列之《修改默认证书&混淆流量》

已于 2023-06-14 14:13:52 修改
阅读量689 收藏 1
点赞数
分类专栏: Cobalt Strike系列教程 文章标签: 服务器 servlet java
于 2023-06-13 17:16:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45329947/article/details/131183571
版权

一:修改默认证书

1.使用keytool工具生成证书

keytool是Java开发工具包(JDK)中的一个命令行工具,用于管理Java密钥和证书。Keytool可以让你生成、导入、导出和管理Java密钥和证书。

$ keytool

Picked up _JAVA_OPTIONS: -Dawt.useSystemAAFontSettings=on -Dswing.aatext=true
密钥和证书管理工具

命令:

 -certreq            生成证书请求
 -changealias        更改条目的别名
 -delete             删除条目
 -exportcert         导出证书
 -genkeypair         生成密钥对
 -genseckey          生成密钥
 -gencert            根据证书请求生成证书
 -importcert         导入证书或证书链
 -importpass         导入口令
 -importkeystore     从其他密钥库导入一个或所有条目
 -keypasswd          更改条目的密钥口令
 -list               列出密钥库中的条目
 -printcert          打印证书内容
 -printcertreq       打印证书请求的内容
 -printcrl           打印 CRL 文件的内容
 -storepasswd        更改密钥库的存储口令

我们使用命令生成一个证书

keytool -keystore 生成的store文件名 -storepass 密码 -keypass 密码 -genkey -keyalg RSA -alias 自定义别名 -dname "CN=(名字与姓氏), OU=(组织单位名称), O=(组织名称), L=(城市或区域名称), ST=(州或省份名称), C=(单位的两字母国家代码)"

keytool -keystore cobaltstrike.store -storepass 123456 -keypass 123456 -genkey -keyalg RSA -alias qq.com -dname "CN=Tencent, OU=DigiCert, O=DigiCert, L=ShangHai, ST=PuDong, C=CN"

在这里插入图片描述
修改证书标准并应用

keytool -importkeystore -srckeystore cobaltstrike.store -destkeystore cobaltstrike.store -deststoretype pkcs12

在这里插入图片描述
查看修改好的证书

keytool -list -v -keystore cobaltstrike.store

在这里插入图片描述

二:混淆流量

如果使证书成功应用需要在profile文件修改一下
在这里插入图片描述在这里插入图片描述

流量文件下载地址:

  • https://github.com/rsmudge/Malleable-C2-Profiles
  • https://github.com/threatexpress/malleable-c2
  • https://github.com/xx0hcd/Malleable-C2-Profiles

由于我的版本是CS4.5所以跟其他方式不太一样,这里简单记录一下吧

这里下载好Profiles文件,然后放到CS根目录。
在这里插入图片描述
然后在CatServer.properties配置一下CatServer.profileCatServer.profile-name
在这里插入图片描述
抓包看到我们的通信流量已经伪造成jquery
在这里插入图片描述

三.禁ping

编辑文件/etc/sysctl.conf,在里面增加一行。
net.ipv4.icmp_echo_ignore_all=1
输入命令生效
sysctl -p

网安君
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
Cobalt Strike生成证书修改C2 profile流量加密混淆
m0_50526465的博客
05-06 3589
Cobalt Strike生成证书修改C2 profile流量加密混淆 Cobalt Strike就不多介绍了,懂得都懂 本次实验环境 kali Cobalt Strike 4.1 生成免费的SSL证书 Cobalt Strike默认使用的cobaltStrike.store证书默认证书已经被各种IDS入侵检测工具和流量检测工具拦截和发现 keytool工具介绍 Keytool是一个Java数据证书的管理工具,Keytool将密钥(key)和证书(certificates)存在一个称为keystore
Cobalt Strike 证书修改
Ms08067安全实验室
05-29 4979
点击上方“凌天实验室”可订阅哦!0x01. Cobalt Strike简介Cobalt Strike是一款渗透测试软件,分为客户端与服务端,服务端是一个,客户端可以有多个,可以进行团队...
内网神器Cobalt Strike隐藏特征流量混淆.
最新发布
2301_80115097的博客
04-30 646
由于上次还没有写好https上线的东西,今天加班加点的弄出来了。本文内容如有错误,望及时告知,以免误导他人.
Cobalt Strike证书修改绕过流量审查
The current road is different, love needs to distinguish between right and wrong
06-07 925
简介 keytool: 是一个java数据证书的管理工具,Keytool将密钥 和 证书 存放在一个称为 keystore 的文件中,即.store后缀的文件中。 Cobalt Strike 服务端和客户端是通过 SSL 加密通讯的,默认的SSL配置文件和代理配置文件导致 store 文件内容被火墙识别并拦截。 查看Cobalt Strike证书 默认的秘钥库口令是 123456 CobaltStrike默认的store文件中的Alias name 、Onwer 和 Issuer 的信息,
Cobalt Strike-修改默认证书混淆流量-教程
W小哥
08-04 3610
首先,生成exe文件并上线使用whireshark抓取数据包查看一下默认配置下的Cobalt Strike,如下图所示默认情况下会间隔一段时间,请求一次 http://192.168.32.131//7VFJ文件、http://192.168.32.131//j.ad文件查看完整的http流,请求的http://192.168.32.131/7Vfj文件内容,请求http://192.168.32.131/j.ad文件内容。.........
Cobalt Strike: 解密混淆过的流量-Part 4
爱我非你莫属的博客
05-06 915
https://blog.nviso.eu/2021/11/17/cobalt-strike-decrypting-obfuscated-traffic-part-4/ 博文系列Cobalt Strike:解密流量 Cobalt Strike:使用已知私钥解密流量 - 第 1 部分 Cobalt Strike:使用已知私钥解密流量 - 第 2 部分 Cobalt Strike:使用进程内存解密流量 - 第 3 部分 Cobalt Strike:解密混淆流量 - 第 4 部分(当前) Cobalt Stri
CobaltStrike4.4.zip
09-15
Cobalt Strike是一款备受瞩目的渗透测试工具,主要用于模拟高级威胁行为,帮助网络安全专业人士进行红队操作和评估网络御的有效性。在这个"CobaltStrike4.4.zip"压缩包中,包含了多个与Cobalt Strike 4.4版本相关...
cobaltstrike中文版.zip
05-17
3. **Aggressor**:是Cobalt Strike的图形用户界面,通过它,用户可以管理Beacon会话,执行命令,监视网络流量,以及进行其他高级操作。 4. **Payloads and Stagers**:Cobalt Strike支持多种载体和阶段器,这些是...
Cobalt-Strike-4.7
12-27
Cobalt Strike 是一款使用java编写,C / S架构的商业渗透软件,适合多人进行团队协作,可模拟APT做模拟对抗,进行内网渗透,是一个为对手模拟和红队行动而设计的平台,主要用于执行有目标的攻击和模拟高级威胁者的后...
Cobalt Strike 4.0 dist_Strike!_Cobalt_cobaltstrike_
10-02
在压缩包子文件的文件名称列表中,尽管只有一个条目"cobalt",但通常Cobalt Strike的分发包会包含多个组件,如安装脚本、证书、payload生成工具、文档和样本配置等。这些组件可能被组织在不同的目录下,用于不同阶段...
cobalt strike 4.7
06-07
3. **伪造流量混淆**:Cobalt Strike通过多种方式混淆其网络通信,如HTTP、DNS、SMB等。4.7版本可能包含改进的混淆技术,以更好地模拟正常网络流量,逃避网络监控。 4. **社会工程工具集**:Cobalt Strike常用于...
SecondaryDevCobaltStrike:二次开发过后的CobaltStrike,版本为4.1.在原来CobaltStrike的基础上修改多处特征,解决流量查杀问题
04-16
先赞后看,已成习惯.如有后门,我必完蛋:star: 关于二次开发后的CobaltStrike 默认CobaltStrike内存在多处流量特征,在马儿与服务端建立连接时进行流量交互.此间存在多处可疑特征已被各大杀软记录在册 如:卡巴斯基,诺顿,迈克菲等,但国内杀软并无此功能. 所以在客户端进行免杀的同时服务端在流量交互方面也需要特征去除,才产生了二次开发后CobaltStrike. 此次二开为CobaltStrike4.1版本. 效果截图 迈克菲截图 卡巴斯基截图 诺顿截图 注:所有的CobaltStrike上线未被查杀都基于客户端的马儿未被AV静态查杀的前提下,达到了动态免杀. 使用方法 1.将cobaltstrike.jar文件替换服务端的原有jar 2.将cobaltstrike.jar文件替换客户端的原有jar 3.请确保服务端或客户端的Java环境在Jdk10以上(包含JDK10) 使用中
cobalt strike生成证书修改C2 profile流量加密混淆
干铮的博客
03-15 3880
C2 profile流量加密混淆 生成证书修改C2 profile加密混淆实际上就是对流量加密传输,目的是为了逃逸安全审计,穿透检测器。 生成免费的ssl证书 在运行cobalt strike 默认使用的cobaltstrike store证书,生成新证书的意义是将使用我们现在的制定好的证书默认证书cobalt strike会被检测。 keytool -genkey -alias wkk -keyalg RSA -validity 36500 -keystore wkk.store wk
cobaltstrike流量特征
RestoreJustice的博客
09-17 476
cobaltstrike是红队攻中常用的工具,用以连接目标和cobaltstrike服务器,方便红队进一步对目标渗透,在双方通信过程中cobaltstrike流量具有很明显的特征
Cobalt Strike流量特征分析
weixin_52741673的博客
07-21 4128
cobalt strike流量特征分析
Cobalt Strike(CS)流量分析
小千安全
04-21 6817
为了识别 Cobalt Strike 生成的 HTTPS 流量,可以收集不同 TLS 实现的 JA3S 值,构建 JA3S 签名库,并结合其他特征和行为进行综合分析和判断。同时,反编译CS的源代码也可以得知,92L对应于x86位的木马,而93L对应于x64位的后门。在 HTTPS 协议的 Client Hello 和 Server Hello 阶段,都包含了 JA3S 值传输过程过程中会有 ja3,这个值在系统上是固定的,win10是一种的 但win11是另一种 他们取决于操作系统。
告警流量分析:Cobalt Strike默认实验文)
soldi_er的博客
10-26 2831
文章目录前言从去除流量特征反推分析流量包200815084549005001_tmp.pcap - 无有用信息200929112751005001_tmp.pcap - 无有用信息流量包协议可疑 IP 地址犯错 - one hour passed201021151312005001_tmp.pcap - 有用信息第一段数据TCP 流所有 description源地址筛选:ip.src == 10.160.161.16源地址筛选:ip.src == 10.150.187.155总结 前言 软件一般都有流量特征
Cobaltstrike去除流量特征
chaojixiaojingang
08-02 2366
普通CS没有做流量混淆会被火墙拦住流量,所以偶尔会看到CS上线了机器但是进行任何操作都没有反应,这里尝试一下做流量混淆。参考网上的文章,大部分是两种方法,一种更改teamserver 里面与CS流量相关的内容,一种是利用Keytool工具生成新的store证书,我们需要做的修改大概为3个地方: 1)修改默认端口 2)去除store证书特征 3)修改profile 1.修改默认端口 编辑teamserver文件,更改server po...
149.网络安全渗透测试—[Cobalt Strike系列]—[HTTP Beacon重定器/代理服务器/流量走向分析]
qwsn
03-21 3856
一、Cobalt Strike 重定器 1、Cobalt Strike 重定器简介 2、重定器用到的端口转发工具 二、cobalt strike重定器实验 1、实验背景 2、实验过程 3、流量分析
Cobalt Strike木马流量特征
07-13
Cobalt Strike是一种常用于渗透测试和红队行动的工具,它可以帮助安全团队模拟攻击者的行为。虽然Cobalt Strike具有很高的定制性,但是一些常见的木马流量特征可以帮助检测其存在。 以下是一些Cobalt Strike木马流量特征: 1. 异常流量Cobalt Strike在与C2服务器通信时使用自定义协议,与正常的网络通信流量不同,因此可以通过检测异常流量来识别Cobalt Strike木马。 2. 非标准端口:Cobalt Strike通常使用非标准端口进行通信,例如默认情况下使用50050端口。检测到使用非标准端口的流量可能是Cobalt Strike的迹象。 3. 指纹识别:Cobalt Strike的网络通信中包含特定的指纹,例如特定的HTTP请求头或特殊的网络包结构。这些指纹可以用于识别Cobalt Strike木马。 4. 模糊数据流:Cobalt Strike使用加密和编码技术来模糊其网络流量,以避免被检测。检测到模糊数据流可能是Cobalt Strike的迹象。 5. 不寻常的进程行为:Cobalt Strike通常通过注入恶意代码或创建恶意进程来实现横向移动和执行攻击。检测到不寻常的进程行为可能是Cobalt Strike的指示。 请注意,这些特征只是一些常见的线索,Cobalt Strike是一种高度可定制的工具,攻击者可以修改其行为以避免检测。因此,综合使用多种检测技术和工具是更有效地发现Cobalt Strike木马的方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

网安君

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值