反击CobaltStrike

最新推荐文章于 2025-11-29 15:21:16 发布
原创 最新推荐文章于 2025-11-29 15:21:16 发布 · 1.5k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #信息安全 #计算机网络

本文详细介绍了如何反击CobaltStrike(CS)的攻击,通过分析CS上线流量特征,利用HTTP Beacon重放实验,探讨新主机伪造方法,包括Stager Url校验算法和Beacon配置解密,最终实现混淆红队视线,反制攻击。

背景

CobaltStrike(简称CS)作为一款渗透测试神器,采用C/S架构,可进行分布式团队协作。CS集成了端口转发、服务扫描、自动化溢出、多模式端口监听、Windows exe与dll 木马生、Java 木马生成、Office 宏病毒生成、木马捆绑等强大功能,深受广大红队同学的喜爱。为了规避侦测,红队往往会对CS采用一些隐匿手段,常见方式有云函数和CDN等。这些隐匿手段隐匿了CS的真实IP,诸如DDoS之类的流量无法穿透CDN到达CS,常规的攻击方式难以对CS服务器形成有效干扰和打击。只能止步于此了吗?有没有反击CS的奇技淫巧?答案当然是肯定的!接下来带各位看官体验一种批量伪造肉鸡来戏耍CS的新方法,希望各位蓝队同学引(付)以(诸)为(实)戒(践)。

CS上线流量特征分析

首先,我们先研究下CS上线的流量有无特征。图1使用Wireshark分析HTTP型Beacon的上线包。
在这里插入图片描述
图1

肉眼来看,上线包的敏感信息隐藏到了Cookie中,特征非常明显。通过进一步分析,我们发现上线包的请求Cookie值是受控主机元数据经过非对称加密后的密文,CS服务器接收到Cookie值后进行解密从而获取到受控主机信息。受控主机元数据包含了若干敏感信息,如图2所示:

在这里插入图片描述
图2

此处划重点,HTTP型Beacon 上线包的核心在于Cookie,而Cookie是对受控主机元数据的非对称加密的密文。

HTTP Beacon重放实验

由于HTTP属于明文传输协议,HTTP型Beacon的上线过程存在中间人

最低0.47元/天 解锁文章
cobaltstrike反制神器
问题很多的小明
09-20 2381
git地址: https://github.com/hariomenkel/CobaltSpam 需要下载的依赖: pip3 install PySocks pip3 install stem pip3install requests pip3 install rstr 依次安装 根据python3执行报错缺少的依赖依次安装。遇到pip3 install M2Crypto,mac环境下需要执行安装xcode-select --install 然后安装swig 执行:python3 sp..
安全红蓝对抗反制(反捕、画像)
墨痕诉清风的博客
03-09 4172
1.蜜罐 蜜罐可以理解成互联网上的一台主机,它的作用是诱骗攻击者去对自己进行攻击,然后记录攻击者的攻击细节并生成对应的攻击者画像,是当前的一种比较主流的入侵检测系统也是一种主动防御系统。 1.1 放置高交互蜜罐 放置高交互蜜罐,例如一个邮箱服务类型的蜜罐,攻击者有可能会进行邮箱注册,这样子攻击者就主动向我们留下了自己的身份信息。 1.2 放置多个容易被发现的蜜罐 放置多个攻击者可以轻而易举发现的蜜罐,攻击者就会知道自己所在的环境是被蜜罐所包围的,有可能就会放弃进行大范围攻击,变相保护了蜜罐背后的真
Cobalt Strike(CS)流量分析
小千安全
04-21 8965
为了识别 Cobalt Strike 生成的 HTTPS 流量,可以收集不同 TLS 实现的 JA3S 值,构建 JA3S 签名库,并结合其他特征和行为进行综合分析和判断。同时,反编译CS的源代码也可以得知,92L对应于x86位的木马,而93L对应于x64位的后门。在 HTTPS 协议的 Client Hello 和 Server Hello 阶段,都包含了 JA3S 值传输过程过程中会有 ja3,这个值在系统上是固定的,win10是一种的 但win11是另一种 他们取决于操作系统。
推荐开源项目:CobaltStrikeScan - 检测与解析Cobalt Strike信标工具
gitblog_00071的博客
11-15 696
网络安全领域,对恶意活动的检测和防御至关重要。CobaltStrikeScan是一个专为Windows系统设计的开源工具,它可以帮助安全专家和研究人员扫描文件或进程内存以查找Cobalt Strike信标,并解析其配置信息。 ## 项目介绍 CobaltStrikeScan采用YARA规则进行扫描,能探测到Windows进程中经典的DLL注入或反射式注入行为,并针对目标进程的内存执行YARA
【阿一网络安全CS流量特征
Ayixy的博客
06-26 644
在使用cobalt strike下达指令时,会出现post请求/sumbit.php?id=xxx的特征,该特征可以判断。和操作系统有关,每个操作系统都有固定的值,例如我使用的操作系统为。和操作系统有关,每个操作系统都有固定的值,例如我使用的操作系统为。和操作系统有关,每个操作系统都有固定的值,例如我使用的。以本机为例,抓取本地流量数据包,等网络抓包工具,可以捕获到后门的。通过查看心跳包获取一般。4个数字或者字母组成。
cobaltstrike反制
qq_74806534的博客
10-28 1612
好比渗透测试或者是红队打项目的时候,如果目标找不到利用点进去,就可以从旁站看看对吧,所以这种旁路反制亦是这样,我们发现一个c2上运行着cobaltstrike server了,然后上述的其他反制手段都行不通,这时我们就可以看看,这个c2上是不是还有其他的服务,我们对其端口进行扫描,获取相关信息,从其他服务的缺陷来实现反制。第一种是,发现攻击者对我们单位在进行精准钓鱼,那么我们可以通过这个欺骗防御,来混淆攻击者的视听,让攻击者的c2server上线大量机器,但是攻击者却执行不了任何命令。
溯源反制-远程控制工具-CobaltStrike
m0_62172162的博客
04-25 830
溯源反制-远程控制工具-CobaltStrike
黑客秘笈:英文第三版,渗透测试与安全评估指南
这部分还介绍了渗透测试中常用的一些工具,例如 Metasploit Framework —— 一个广泛使用的开源渗透测试框架,Cobalt Strike —— 一个高级的红队操作工具,以及 PowerShell Empire —— 一个基于 PowerShell 的后...
网络安全溯源反制技术学习资料
此外,该资料还可能整合了开源工具集,如TheHive用于事件管理,Cortex用于自动化分析,MISP用于共享威胁情报,以及Metasploit、Cobalt Strike等渗透测试平台在反制训练中的应用方式。对于学习者而言,掌握这些工具不...
CobaltStrikeScan:扫描文件或进程内存以查找CobaltStrike信标并解析其配置
03-30
钴弹扫描 扫描文件或处理内存以查找Cobalt Strike信标,并解析其配置。 CobaltStrikeScan扫描Windows进程内存以查找DLL注入(经典或反射注入)的证据,并在目标进程的内存上执行YARA扫描以获取Cobalt Strike v3和v4信标签名。 另外,CobaltStrikeScan可以对绝对路径或相对路径提供的文件执行相同的YARA扫描,作为命令行参数。 如果在文件或进程中检测到Cobalt Strike信标,则将解析该信标的配置并将其显示在控制台中。 克隆此仓库 CobaltStrikeScan包含作为子模块。 确保在克隆CobaltStrikeScan时使用git clone --recursive https://github.com/Apr4h/CobaltStrikeScan.git ,以便也下载/克隆子模块的代码。 建立解决方案 Costur
CobaltStrikeScan 使用教程
最新发布
gitblog_00292的博客
11-29 523
CobaltStrikeScan 是一个专为 Windows 系统设计的开源工具,旨在帮助安全专家和研究人员扫描文件或进程内存以查找 Cobalt Strike 信标。该工具可以检测和解析 Cobalt Strike 信标,从而帮助用户识别和防御潜在的恶意活动。 ## 项目快速启动 ### 克隆项目 首先,克隆 CobaltStrikeScan 仓库到本地: ```bash git clo
反制burpsuit RCE上线CS
qq_40773698的博客
05-11 1511
0x00前言: Burp Suite的反制原理是利用低版本的chrome浏览器漏洞来触发命令执行达到反制的效果,Headless Chrome是谷歌Chrome浏览器的无界面模式,通过命令行方式打开网页并渲染,常用于自动化测试、网站爬虫、网站截图、XSS检测等场景。攻击者可以利用这些缺陷攻击客户端应用以达到命令执行效果。 0x01触发条件: Burp Suite v2.0的Live audit from Proxy被动扫描功能在默认情况下开启JavaScript分析引擎(JavaScr
CobaltStrike 流量分析与入侵检测
qq_74806534的博客
10-28 1896
ja3 和 ja3s 分别代表 tls 握手阶段的 client-hello、server-hello 的数据集合计算出的哈希值(md5),相同版本相同系统下指纹相同,该特征与操作系统、cobaltstrike 版本有关,profile 文件无法对其修改。JA3S指纹(Just Another SSL/TLS Signature):它是基于服务器在TLS握手过程中发送的服务器Hello消息中的字段值生成的指纹。JA3指纹和JA3S指纹的生成方法类似,都是通过计算握手消息中的字段值的哈希值来生成唯一的指纹。
Cobalt Strike流量特征分析
weixin_52741673的博客
07-21 8600
cobalt strike流量特征分析
cbaltStrike工作原理和架构
hao_wujing的专栏
07-13 498
优势✅ 高度可定制化(Malleable C2、UDRL)✅ 多阶段载荷分离(降低单点检测率)✅ 完善的团队协作与后渗透模块(端口转发、凭证窃取等)59。对抗演进➠ 从静态特征检测 → 转向行为分析(如周期性心跳、异常进程注入)➠ 结合AI分析流量时序特征,识别伪装流量9。防御方需构建“流量+终端+情报”联动的检测体系,重点关注低频率加密通信和无文件加载行为,方能有效对抗CobaltStrike的高级威胁。
CS的流量行为特征
门柚的博客
07-26 6696
CS的流量行为特征
流量特征分析--------------- cs、菜刀、蚁剑、冰蝎
qq_63278311的博客
11-16 3600
2) 指令执行完后,client端通过POST请求发送执行的结果数据,body部分通过加密和base64编码。") 此数据由冰蝎加载器发出的,已经定义好的。1) 下发指令时,通过心跳包接收指令,这时,server端返回的包更长,甚至包含要加载的dll模块数据。3) 不同指令,执行的时间间隔不一样,可以通过POST请求和GET请求的间隔进行判断。1) 在请求的返回包中,通信数据均隐藏在jqeury*.js中。1) 间隔一定时间,均有通信,且流级上的上下行数据长度固定;如果用默认的蚁剑测试,连接时会请求两次。
常见Webshell&重大漏洞的流量特征(附解密流量工具)
Python_0011的博客
11-10 9188
攻防演练中,经常会看到一些加密的流量,又分不清楚是不是误报,本文总结了一些常见的流量特征,附流量解密工具。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值