CobaltStrike特征隐藏合法证书SSL加密通讯

最新推荐文章于 2024-07-25 10:17:45 发布
置顶 最新推荐文章于 2024-07-25 10:17:45 发布
阅读量2.3k 收藏 6
点赞数 1
分类专栏: CobaltStrike 文章标签: CobaltStrike 红蓝对抗 安全通信 证书修改 隐蔽技巧
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46944519/article/details/121351151
版权

0x01 CobaltStrike介绍

在红蓝对抗、实战攻防项目中,防守方(蓝队)一般会有许多厂商的安全监控设备,因此,为了防止被蓝队溯源需要采取一些措施去修改CobaltStrike工具特征,CobaltStrike服务端与客户端使用SSL加密通讯的(默认证书CobaltStrike.store),默认情况下的一些配置文件导致keystore文件的内容被用于安全设备所识别、敏感特征识别等,所以该如何修改不易被蓝方发现是至关重要的!

0x02 修改特征的几种方法

1.更改默认端口

方法一:
赋予 teamserver 权限: chmod 777 teamserver
直接编辑teamserver进行启动项修改 vim teamserver

方法二:
启动时候指定server_port

java -XX:ParallelGCThreads=4 -Duser.language=en -Dcobaltstrike.server_port=XXXX -Djavax.net.ssl.keyStore=./cobaltstrike.store -Djavax.net.ssl.keyStorePassword=123456 -server -XX:+AggressiveHeap -XX:+UseParallelGC -Xmx1024m -classpath ./cobaltstrike.jar server.TeamServer xxx.xxx.xx.xx test google.profile
在这里插入图片描述

2.去除证书特征

keystore介绍

keystore是java的密钥库,用来进行通信加密,如数字签名。keystore就是用来保存密钥对的,公钥和私钥。Keystore可理解为一个数据库,可以存放很多个组数据。
在这里插入图片描述

keytool生成证书对

Keytool是一个java数据证书的管理工具,Keytool可以将密钥和证书存放在keystore的文件中,形成后缀为.store文件的证书对。

进入CS目录下
在这里插入图片描述
查看 keytool -list -v -keystore cobaltstrike.store 证书情况 默认密码为:123456 即可查看所有信息
在这里插入图片描述
可以看到里面有明显的CobaltStrike特征信息!

keytool管理工具,使用如下:
在这里插入图片描述
keytool -keystore cobaltstrike.store -storepass 123456 -keypass 123456 -genkey -keyalg RSA -alias google.com -dname "CN=US, OU=”google.com“, O=“Sofatest”, L=Beijing, ST=Cyberspace, C=CN"

在使用 keytool -list -v -keystore cobaltstrike.store 命令查看,已成功修改!
在这里插入图片描述

3.生成合法证书

申请SSL证书
网址:点击跳转证书申请
在这里插入图片描述
CSR选择->浏览器生成->点击创建
在这里插入图片描述
会生成一个TXT记录,然后前往域名配置中去添加一条TXT记录规则
在这里插入图片描述
添加A记录指向自己的VPS
在这里插入图片描述
TXT解析记录配置成功后,可使用nslookup命令检测TXT配置是否成功
在这里插入图片描述
配置成功后,下载SSL证书文件
在这里插入图片描述
生成keystore文件

使用openssl将pem证书和key私钥导出为P12格式的证书
在这里插入图片描述
使用keytool生成store格式的证书对
在这里插入图片描述
在这里插入图片描述

4.启用合法证书

CobaltStrike证书配置

CS启动时会加载默认文件,里面配置了证书文件、密码、心跳时间等,配置文件中可以自己修改设定的请求与响应,让CS通信流量看起来更合法一些,这是需要重新写一个配置文件(Profile)引用证书

CS profile文件地址:点击跳转

https Beacon的证书配置如下:
在这里插入图片描述
在这里插入图片描述
修改完成后,可以用自带的 c2lint 检查配置文件是否正确,没问题就可以正常使用
在这里插入图片描述
最后还需要修改 teamserver 文件,将证书文件和密码修改为刚刚生成的。同时也要把端口号修改,因为端口号也是敏感特征信息

0x03 修改完成后上线测试

启动 teamserver
在这里插入图片描述
创建 https 监听
在这里插入图片描述
生成木马,让主机上线
在这里插入图片描述
已成功上线,并且是https加密传输
在这里插入图片描述
在这里插入图片描述
查看目标与CS的通讯过程,使用https协议传输。在原有的基础上加了一层ssl安全套接字进行加密
在这里插入图片描述

李火火安全阁
关注
专栏目录
Cobaltstrike去除特征
Ms08067安全实验室
12-02 6149
本文作者:BlackCat(Ms08067实验室内网小组成员)前言:红蓝对抗的时候,如果未修改CS特征、容易被蓝队溯源。去特征的几种方法:1、更改默认端口方法一、直接编辑teamser...
反击CobaltStrike
AzulSystems的博客
03-18 439
通过这种以假乱真的方法,蓝队同学可很好的混淆红队同学的视线,以此来反制攻击者。对于低级的攻击者而言,目前不能够很好的防御这种攻击手段。同样,上面提及的2种算法可用于Beacon Staging Server和C2 Server的挖掘。目前,防御上述反制的方法,可通过修改CS代码上述2种算法的逻辑,阻止虚假主机上线和C2挖掘。在HVV过程中,如果发现红队的CS木马样本或者CS服务器,我们可以用上述方法来混淆红队同学的视线、拖延他们的时间,让红队同学陷入怀疑人生的地步。网络安全学习资料笔记/>
cobalt Strike合法证书实现ssl加密通讯
http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm
03-08 6628
cobalt Strike合法证书实现ssl加密通讯
cs(cobaltstrike)隐藏特征
qq_45092459的博客
09-21 954
cs(cobaltstrike)隐藏特征
CobaltStrike的心跳通信
最新发布
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
07-25 677
CobaltStrike允许攻击者通过修改配置文件来自定义Beacon的心跳间隔、检查频率等参数,以适应不同的攻击场景和需求。攻击者还可以利用CobaltStrike提供的流量伪装功能来隐藏或伪装Beacon的心跳通信流量,以逃避安全检测。1、cobalt strike malleable C2配置文件:通过cobalt strike maleable C2配置文件可以修改框架内的各种默认值,操作者可以修改Beacon的内存占用,更改其检入的频率等等,甚至可以修改 Beacon的网络流量。
Cobalt Strike流量特征分析
weixin_52741673的博客
07-21 5379
cobalt strike流量特征分析
cobaltstrike生成一个原生c,然后利用xor加密解密执行
qq_41683305的博客
02-24 1546
首先cobaltstrike生成一个原生c,我的是: /* length: 797 bytes */ unsigned char buf[] = "\xfc\xe8\x89\x00\x00\x00\x60\x89\xe5\x31\xd2\x64\x8b\x52\x30\x8b\x52\x0c" "\x8b\x52\x14\x8b\x72\x28\x0f\xb7\x4a\x26\x31\xff\x...
Cobalt Strike证书修改绕过流量审查
The current road is different, love needs to distinguish between right and wrong
06-07 999
简介 keytool: 是一个java数据证书的管理工具,Keytool将密钥 和 证书 存放在一个称为 keystore 的文件中,即.store后缀的文件中。 Cobalt Strike 服务端和客户端是通过 SSL 加密通讯的,默认的SSL配置文件和代理配置文件导致 store 文件内容被防火墙识别并拦截。 查看Cobalt Strike证书 默认的秘钥库口令是 123456 CobaltStrike默认的store文件中的Alias name 、Onwer 和 Issuer 的信息,
CobaltStrike windows7 无法上线
qq_43615820的博客
09-13 1579
CobaltStrike windows7 无法上线
DNS Over HTTPS for Cobalt Strike(将 DoH 与 Cobalt Strike 结合使用, 无需第
08-03
3. 证书配置:确保所有通信都使用SSL证书进行加密,这可以通过自签名证书或者获取权威CA的证书来实现。 4. 隐藏流量:利用可信赖的域名,使C2流量混入正常的HTTPS流量中,降低被检测的可能性。 5. 持续监控和更新:...
信息安全之远程控制
cnm1131627的博客
05-06 912
远程控制是指在渗透测试中通过远程手段控制目标系统,进行各种操作和获取信息。远程控制在渗透测试中扮演着重要的角色。通过远程控制,渗透测试人员可以模拟攻击者对目标系统进行操作,从而发现系统中的弱点和安全漏洞。以下是一些常见的远程控制技术:1. 反向Shell:通过在目标系统上安装恶意软件,使其与攻击者的控制服务器建立连接,并通过该连接实现远程控制。反向Shell可以用于执行命令、上传/下载文件、查看系统信息等操作。
网络安全专业名词解释
aixmmmlll的博客
05-16 3891
1.Burp Suite 是一款信息安全从业人员必备的集成型的渗透测试工具,它采用自动测试和半自动测试的方式,通过拦截HTTP/HTTPS的Web数据包,充当浏览器和相关应用程序的中间人,进行拦截、修改、重放数据包进行测试,是Web安全人员的一把必备的瑞士军刀。 2.Bypass就是绕过的意思,渗透测试人员通过特殊语句的构建或者做混淆等进行渗透测试,然后达到绕过WAF的手法。 3.C2全称为Command and Control,命令与控制,常见于APT攻击场景中。作动词解释时理解为恶意软件与攻击者进行交互
Cobalt Strike 使用指南(资源整合笔记)
天在等我,菜鸟想飞
12-30 7402
0x00 写在前面的话 Cobalt Strike自出世以来,一直在红队常用的工具行列。因其优良的团队协作性,被冠以多人运动的必备利器。 本文将网络上各路神仙的经验分享以渗透流程为依据进行了一次整合,旨在提供工具的学习使用流程。 1、工具介绍 CS是什么? Cobalt Strike是一款渗透测试神器,常被业界人称为CS神器。Cobalt Strike已经不再使用MSF而是作为单独的平台使用,它分为客户端与服务端,服务端是一个,客户端可以有多个,可被团队进行分布式协团操作。 Cobalt Strike集成
cobalt strike各种beacon的详解(http/https/tcp)
热门推荐
Shanfenglan's blog
08-06 35万+
Beacon Cobalt strike4.0开始就只有这几种beacon,下面对其进行一一讲述,先得创建对应的listener,之后根据创建好的listener生成木马文件,文件运行后返回对应的beacon,至于beacon到底是个什么东西可以看我的这篇文章。这里我们先讲述几种比较简单的易于理解的beacon。 附录 beacon与c2通信逻辑 1.stager的beacon会先下载完整的payload执行,stage则省略这一步 2.beacon进入睡眠状态,结束睡眠状态后用 http-get方
【知识积累】CS4.4绕过vultr特征检测修改checksum8算法
孤桜懶契
01-07 4746
前言 众所周知,关于cs相关的资料都非常的少,并且是打得特别紧,特别是这两年各个安全厂商对cs相关的内容都给予了特征识别等严重的打击,例如vultr网站会检测特征并关停服务器,我们可以同个多种方式更改特征绕过,接下来我们来讲更改cs的算法进行绕过。例如下面这样 我弄的环境,就因为开了cs结果就被强制破坏o(╥﹏╥)o 特征检测 关于被检测的特征详细来概述 首先我们新建监听器 这里我们一般用80和443来监听,因为其他端口的容易被封,这俩端口基本没人去管 接下来我们打开特征的的一些链接看下
第118天:免杀对抗-二开CS&上线流量特征&Shellcode生成机制&反编译重打包(上)
qq_46081990的博客
07-25 979
魔改(二次开发)CS,目的是修改其特征防溯源,或是替换模板让其生成的payload直接达到免杀效果今天的内容主要涉及以下几个方面:(修改前提是将CS的jar文件反编译,修改完后再打包替换) 1 、表面配置特征消除修改CS端口(没改的是50050端口,可修改成其他的端口)修改CS证书配置修改CS加载文件配置 2 、上线流量特征消除采用默认http(s) 的CS请求url为4位字符串(如aaa9),将这4位字符串作为传入,通过算法checksum8会得到92(93) ,蓝队可以以此判定为CS连接器。
Cobalt Strike-修改默认证书、混淆流量-教程
W小哥
08-04 3803
首先,生成exe文件并上线使用whireshark抓取数据包查看一下默认配置下的Cobalt Strike,如下图所示默认情况下会间隔一段时间,请求一次 http://192.168.32.131//7VFJ文件、http://192.168.32.131//j.ad文件查看完整的http流,请求的http://192.168.32.131/7Vfj文件内容,请求http://192.168.32.131/j.ad文件内容。.........
CobaltStrike服务端自身隐匿技巧
The current road is different, love needs to distinguish between right and wrong
11-18 2379
CobaltStrike服务端自身隐匿技巧
Cobalt Strike -- 各种beacon
huohaowen的博客
03-25 1247
本文来讲一下cs里面的beacon
ssl证书加密算法漏洞
04-25
SSL证书加密算法漏洞是指在使用SSL/TLS协议进行通信时,使用了弱加密算法或者加密算法配置不当导致的安全漏洞。这些弱加密算法可能会被攻击者轻易破解,从而获取到通信中的敏感信息。 常见的SSL证书加密算法漏洞包括以下几种: 1. RSA密钥长度过短:RSA是一种非对称加密算法,使用了公钥和私钥进行加密和解密。如果使用的RSA密钥长度过短(比如512位),则存在被暴力破解的风险。 2. 使用过时的SSL/TLS版本:旧版本的SSL/TLS协议存在安全漏洞,容易受到中间人攻击或者数据篡改。建议使用较新的SSL/TLS版本,如TLS 1.2或TLS 1.3。 3. 弱密码套件:SSL/TLS协议支持多种加密算法和密钥交换算法,但有些算法已经被证实不安全。如果服务器配置了弱密码套件,攻击者可以选择弱算法进行攻击。 4. 未正确验证证书:客户端在建立SSL/TLS连接时应该对服务器的证书进行验证,以确保连接的安全性。如果客户端未正确验证证书,攻击者可以使用伪造的证书进行中间人攻击。 为了防止SSL证书加密算法漏洞的发生,可以采取以下措施: 1. 使用较长的RSA密钥长度,推荐使用2048位或以上的密钥长度。 2. 配置服务器只支持较新的SSL/TLS版本,禁用旧版本的协议。 3. 禁用弱密码套件,只支持安全的加密算法和密钥交换算法。 4. 在建立SSL/TLS连接时,确保正确验证服务器的证书,可以使用受信任的证书机构颁发的证书
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

李火火安全阁

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值