Cobalt Strike流量特征分析

最新推荐文章于 2025-03-10 22:11:38 发布

0rubkrpe

最新推荐文章于 2025-03-10 22:11:38 发布

阅读量8k

点赞数 7

文章标签：网络安全

本文链接：https://blog.csdn.net/weixin_52741673/article/details/131781810

版权

魔改后的cobalt strike遗留特征

三、利用工具检测cobalt strike

Cobalt Strike简介：

Cobalt Strike 是一款GUI的框架式渗透工具，集成了端口转发、服务扫描，自动化溢出，多模式端口监听，win exe木马生成，win dll木马生成，java木马生成，office宏病毒生成，木马捆绑；钓鱼攻击包括：站点克隆，目标信息获取，java执行，浏览器自动攻击等等。

Cobalt Strike基本工作流程：

Cobalt Strike是以C/S架构为基础的渗透测试软件，分为clint端、server端和被控端。

1.被控端发送心跳包

2.server端收到心跳包并记录被控端主机信息

3.被控端再次发送心跳包询问server端是否有指令

4.clint端发送指令给server端

5.server端接受指令并加密，发送给被控端

6.被控端接受指令并解密，把执行结果返回到server端

HTTP特征：

一、源码特征

在流量中，通过http协议的url路径，在checksum8解密算法计算后，32位的后门得到的结果是92，64位的后门得到的结果是93，该特征符合未魔改Cobalt Strike的流量特征。

checksum8解密算法

public class EchoTest {

  public static long checksum8(String text) {

    if (text.length() < 4) {

      return 0L;

    }

    text = text.replace("/", "");

    long sum = 0L;

    fo

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

0rubkrpe

关注关注

7
点赞
踩
29

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

CobalStrike(CS)流量分析

热爱学习，喜欢折腾！

10-08

1123

而Cobalt Strike 3.0已经不再使用Metasploit框架而作为一个独立的平台使用，它分为客户端与服务端，服务端是一个，客户端可以有多个，可被团队进行分布式协团操作。Cobalt Strike集成了端口转发、服务扫描，自动化溢出，多模式端口监听，win exe木马生成，win dll木马生成，java木马生成，office宏病毒生成，木马捆绑；仅供学习参考使用，请勿用作违法用途，否则后果自负。

Cobalt Strike（CS）流量分析

小千安全

04-21

8295

为了识别 Cobalt Strike 生成的 HTTPS 流量，可以收集不同 TLS 实现的 JA3S 值，构建 JA3S 签名库，并结合其他特征和行为进行综合分析和判断。同时，反编译CS的源代码也可以得知，92L对应于x86位的木马，而93L对应于x64位的后门。在 HTTPS 协议的 Client Hello 和 Server Hello 阶段，都包含了 JA3S 值传输过程过程中会有 ja3，这个值在系统上是固定的，win10是一种的但win11是另一种他们取决于操作系统。

参与评论您还未登录，请先登录后发表或查看评论

蚂蚁宝剑、哥斯拉、冰蝎、Cobalt Strike 的流量特征

weixin_46066254的博客

12-14

1712

在网络安全和加密通信领域，特别是涉及 SSL/TLS 证书相关内容时，“Own”（所有者）和 “Issuer”（颁发者）是两个重要的概念。DLL 即动态链接库（Dynamic - Link Library），是一种文件格式，在 Windows 操作系统等环境中广泛应用。（也称为 “URL 编码” 或 “百分号编码”）是一种将数据转换为适合在 URL 中传输的格式的编码方式。不会显示命令行控制台窗口（适用于那些不需要在控制台输出信息的 Java 应用程序，比如图形界面程序等）。

应急响应--流量分析

最新发布

leaf_lucky的博客

03-10

1102

固定的user-agent头：老版本的cobalt strike中user-agent头是固定不变的，可以作为一个特征，新版本的cobalt strike中的user-agent头是会每次都变化的。在流量中，通过http协议的url路径，在checksum8解密算法计算后，32位的后门得到的结果是92，64位的后门得到的结果是93，该特征符合未魔改Cobalt Strike的流量特征。例如，在cobalt strike4.8中两个不同的cobalt strike数据包的user-agent头是不同的。

cobaltstrike流量特征

RestoreJustice的博客

09-17

937

cobaltstrike是红队攻防中常用的工具，用以连接目标和cobaltstrike服务器，方便红队进一步对目标渗透，在双方通信过程中cobaltstrike流量具有很明显的特征

告警流量分析：Cobalt Strike（默认实验文）

soldi_er的博客

10-26

3579

文章目录前言从去除流量特征反推分析流量包200815084549005001_tmp.pcap - 无有用信息200929112751005001_tmp.pcap - 无有用信息流量包协议可疑 IP 地址犯错 - one hour passed201021151312005001_tmp.pcap - 有用信息第一段数据TCP 流所有 description源地址筛选：ip.src == 10.160.161.16源地址筛选：ip.src == 10.150.187.155总结前言软件一般都有流量特征

CobaltStrike 流量分析与入侵检测

qq_74806534的博客

10-28

1102

ja3 和 ja3s 分别代表 tls 握手阶段的 client-hello、server-hello 的数据集合计算出的哈希值（md5），相同版本相同系统下指纹相同，该特征与操作系统、cobaltstrike 版本有关，profile 文件无法对其修改。JA3S指纹（Just Another SSL/TLS Signature）：它是基于服务器在TLS握手过程中发送的服务器Hello消息中的字段值生成的指纹。JA3指纹和JA3S指纹的生成方法类似，都是通过计算握手消息中的字段值的哈希值来生成唯一的指纹。

【电子数据取证】关于CoblatStrike的流量特征取证分析

longxintec的博客

07-20

1129

Stage是可执行文件在运行后会使用http协议向指定服务器下载stage，指定服务器通常是team server，请求http的路径有多个，但不管怎样，路径名都符合checksum8原则，请求的路径的ascii的和与256取余之后的值为92（x86位木马）或者93（64位木马）在对流量的取证过程中，应当先了解各种工具的各种基本特征，才能根据其特征来分析并确定其类型，需要充分了解取证的技巧以及具备充实的知识储备，才能在令人眼花缭乱的数据流中找出关键的证据。为了明确事情的真相，公司决定进一步调查此事。

SecondaryDevCobaltStrike:二次开发过后的CobaltStrike,版本为4.1.在原来CobaltStrike的基础上修改多处特征,解决流量查杀问题

04-16

先赞后看,已成习惯.如有后门,我必完蛋:star: 关于二次开发后的CobaltStrike 默认的CobaltStrike内存在多处流量特征,在马儿与服务端建立连接时进行流量交互.此间存在多处可疑特征已被各大杀软记录在册如:卡巴斯基,诺顿,迈克菲等，但国内杀软并无此功能. 所以在客户端进行免杀的同时服务端在流量交互方面也需要特征去除,才产生了二次开发后CobaltStrike. 此次二开为CobaltStrike4.1版本. 效果截图迈克菲截图卡巴斯基截图诺顿截图注:所有的CobaltStrike上线未被查杀都基于客户端的马儿未被AV静态查杀的前提下,达到了动态免杀. 使用方法 1.将cobaltstrike.jar文件替换服务端的原有jar 2.将cobaltstrike.jar文件替换客户端的原有jar 3.请确保服务端或客户端的Java环境在Jdk10以上（包含JDK10）使用中

Cobalt Strike 4.4 猪猪版去暗桩去流量特征 beacon仿造真实API服务修补

06-23

交通系统：用于交通流量分析和事故模拟。军事防务：用于战术模拟和训练。仿真软件 MATLAB Simulink：广泛用于工程领域的仿真软件。 ANSYS：主要用于有限元分析的仿真软件。 LabVIEW：用于数据采集和仪器控制的图形...

cobalt strike 4.7

06-07

Cobalt Strike 4.7 是一款广泛应用在网络安全领域的高级渗透测试工具，它主要用于模拟攻击者行为，评估组织的安全防御能力。C2（Command and Control）工具是指远程控制服务器，Cobalt Strike 在此领域中扮演了核心...

cobaltstrike中文版.zip

05-17

这个“cobaltstrike中文版.zip”文件包含了Cobalt Strike的中文版本，这对于中文使用者来说是一个很好的资源，能够帮助他们更好地理解和操作这款工具。 Cobalt Strike的核心功能包括： 1. **Beacon**：这是Cobalt ...

Cobaltstrike去除特征

Ms08067安全实验室

12-02

6287

本文作者：BlackCat（Ms08067实验室内网小组成员）前言：红蓝对抗的时候，如果未修改CS特征、容易被蓝队溯源。去特征的几种方法：1、更改默认端口方法一、直接编辑teamser...

Cobalt Strike隐藏特征与混淆流量

qq_74806534的博客

10-28

1389

keytool -keystore 生成的store名 -storepass 密码 -keypass 密码 -genkey -keyalg RSA -alias 自定义别名 -dname "CN=Microsoft Windows, OU=MOPR, O=Microsoft Corporation, L=Redmond, ST=Washington, C=US"Cobalt Strike默认证书中含有与cs相关的特征，所以需要替换掉cs原有的证书，重新生成一个无特征的证书文件。

149.网络安全渗透测试—[Cobalt Strike系列]—[HTTP Beacon重定器/代理服务器/流量走向分析]

qwsn

03-21

4055

一、Cobalt Strike 重定器 1、Cobalt Strike 重定器简介 2、重定器用到的端口转发工具二、cobalt strike重定器实验 1、实验背景 2、实验过程 3、流量分析

Cobaltstrike去除流量特征

chaojixiaojingang

08-02

2530

普通CS没有做流量混淆会被防火墙拦住流量，所以偶尔会看到CS上线了机器但是进行任何操作都没有反应，这里尝试一下做流量混淆。参考网上的文章，大部分是两种方法，一种更改teamserver 里面与CS流量相关的内容，一种是利用Keytool工具生成新的store证书，我们需要做的修改大概为3个地方： 1）修改默认端口 2）去除store证书特征 3）修改profile 1.修改默认端口编辑teamserver文件，更改server po...

内网神器Cobalt Strike隐藏特征与流量混淆.

2301_80115097的博客

04-30

1544

由于上次还没有写好https上线的东西，今天加班加点的弄出来了。本文内容如有错误，望及时告知，以免误导他人.

Cobalt Strike流量去特征

qq_63980959的博客

09-25

1835

比如我们可以在配置文件中修改http beacon在staging时下载payload所请求的url，但问题在于，即时更改配置文件，符合checksum8算法的url依然是可被主动访问的，但我们如果直接修改checksum8算法的源码就可以避免这种问题。遇到这些对手，需要让beacon和其他后渗透模块高度自定义，这里面涉及到很多方面，静态和行为都需要改造，所以单从魔改CS的客户端、服务端和控制端已经远远不够了，并且灵活度太低，参考快乐鸡哥用C#重写的SharpBeacon。生成项目后，删除自动生成的。

CobaltStrike特征隐藏合法证书SSL加密通讯

李火火的安全圈

11-16

2586

0x01 CobaltStrike介绍在红蓝对抗、实战攻防项目中,防守方(蓝队)一般会有许多厂商的安全监控设备,因此,为了防止被蓝队溯源需要采取一些措施去修改CobaltStrike工具特征,CobaltStrike服务端与客户端使用SSL加密通讯的(默认证书CobaltStrike.store)，默认情况下的一些配置文件导致keystore文件的内容被用于安全设备所识别、敏感特征识别等,所以该如何修改不易被蓝方发现是至关重要的！ 0x02 修改特征的几种方法 1.更改默认端口方法一：赋予 teams

Cobalt Strike木马流量特征

07-13

Cobalt Strike是一种常用于渗透测试和红队行动的工具，它可以帮助安全团队模拟攻击者的行为。虽然Cobalt Strike具有很高的定制性，但是一些常见的木马流量特征可以帮助检测其存在。以下是一些Cobalt Strike木马流量特征： 1. 异常流量：Cobalt Strike在与C2服务器通信时使用自定义协议，与正常的网络通信流量不同，因此可以通过检测异常流量来识别Cobalt Strike木马。 2. 非标准端口：Cobalt Strike通常使用非标准端口进行通信，例如默认情况下使用50050端口。检测到使用非标准端口的流量可能是Cobalt Strike的迹象。 3. 指纹识别：Cobalt Strike的网络通信中包含特定的指纹，例如特定的HTTP请求头或特殊的网络包结构。这些指纹可以用于识别Cobalt Strike木马。 4. 模糊数据流：Cobalt Strike使用加密和编码技术来模糊其网络流量，以避免被检测。检测到模糊数据流可能是Cobalt Strike的迹象。 5. 不寻常的进程行为：Cobalt Strike通常通过注入恶意代码或创建恶意进程来实现横向移动和执行攻击。检测到不寻常的进程行为可能是Cobalt Strike的指示。请注意，这些特征只是一些常见的线索，Cobalt Strike是一种高度可定制的工具，攻击者可以修改其行为以避免检测。因此，综合使用多种检测技术和工具是更有效地发现Cobalt Strike木马的方法。