CobaltStrike特征修改

最新推荐文章于 2024-12-05 09:45:00 发布
最新推荐文章于 2024-12-05 09:45:00 发布
阅读量615 收藏 1
点赞数
分类专栏: 安全学习 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_49849300/article/details/132584164
版权

0.参考

参考很多文章,包括不限于下述

CobaltStrike特征修改-安全客 - 安全资讯平台

https://www.cnblogs.com/xcymn/p/15721400.html

Cobalt Strike 的特征与隐藏 - 简书

https://github.com/rsmudge/Malleable-C2-Profiles/blob/master/normal/amazon.profile

https://www.cnblogs.com/Xy--1/p/14396744.html

一些malleable-c2-profile模板

GitHub - rsmudge/Malleable-C2-Profiles: Malleable C2 is a domain specific language to redefine indicators in Beacon's communication. This repository is a collection of Malleable C2 profiles that you may use. These profiles work with Cobalt Strike 3.x.

Malleable C2 - Cobalt Strike

1.修改端口

客户端默认连接端口:50050

在teamserver中修改

2.证书

keytool操作

Keytool是一个java数据证书的管理工具,Keytool将密钥 和 证书 存放在一个称为 keystore 的文件中,即.store后缀的文件中。

查看证书文件:keytool -list -v -keystore cobaltstrike.store 修改证书密码:keytool -storepasswd -keystore test.store 修改keystore的alias别名:keytool -changealias -keystore test.store -alias source_name -destalias new_name 修改alias(别名)的密码:keytool -keypasswd -keystore test.store -alias source_name

Keystore是什么?keystore是java的密钥库,用来进行通信加密,如数字签名。keystore就是用来保存密钥对的,公钥和私钥。Keystore可理解为一个数据库,可以存放很多个组数据。

每组数据主要包含以下两种数据:

  • 密钥实体 --- 密钥(secret key)又或者私钥和配对公钥(采用非对称加密)
  • 可信任的证书实体 --- 只包含公钥

新建store

而为了掩盖默认SSL证书存在的特征,需要重新创建一个新的不一样的证书 。使用以下命令创建证书:

keytool -keystore cobaltstrike.store -storepass 密码 -keypass 密码 -genkey -keyalg RSA -alias google.com -dname "CN=(名字与姓氏), OU=(组织单位名称), O=(组织名称), L=(城市或区域名称), ST=(州或省份名称), C=(单位的两字母国家代码)"

  • -alias 指定别名
  • -storepass pass 和 -keypass pass 指定密钥
  • -keyalg 指定算法
  • -dname 指定所有者信息

删除 CobaltStrike 自带的cobaltstrike.store,使用以下命令生成一个新的 cobaltstrike.store即可!然后客户端连接即可。

keytool -keystore cobaltstrike.store -storepass 123456 -keypass 123456 -genkey -keyalg RSA -alias baidu.com -dname "CN=(名字与姓氏), OU=(组织单位名称), O=(组织名称), L=(城市或区域名称), ST=(州或省份名称), C=(单位的两字母国家代码)" keytool -importkeystore -srckeystore cobaltstrike.store -destkeystore cobaltstrike.store -deststoretype pkcs12

真实证书

参考这个CS 合法证书 + Powershell 上线

关于合法证书+ps上线手把手示范

先购买一个用于上线的域名,然后用域名申请一个 SSL 证书

使用 FreeSSL首页 - FreeSSL.cn一个提供免费HTTPS证书申请的网站 用我的 spoofdomain.com 域名申请好了证书。

创建一个 keystore

将 ssl 证书上传到 CS 团队服务器,使用以下命令为 CS 生成 keystore:

openssl pkcs12 -export -in fullchain.pem -inkey privkey.key -out spoofdomain.p12 -name spoofdomain.com -passout pass:mypass keytool -importkeystore -deststorepass mypass -destkeypass mypass -destkeystore spoofdomain.store -srckeystore spoofdomain.p12 -srcstoretype PKCS12 -srcstorepass mypass -alias spoofdomain.com

Malleable C2 profile

将 keystore 加入 Malleable C2 profile 中:

https-certificate { set keystore "spoofdomain.store"; set password "mypass"; }

然后在启动 CS 的时候指定此 C2 profile:

nohup ./teamserver 47.x.x.x password c2.profile &

此时当团队服务器启动,其就会使用提供的 keystore 并启用 SSL 文件托管。

reverse_https 监听器

创建一个 reverse_https 的监听器,在 HTTPS Hosts 和 HTTPS Host(stager) 以及 HTTPS Host Header 这里指定域名:

Cobalt Strike HTTPS C2 重定向器

上面已经成功域名上线、正常通信了 。但是有时候我们也会遇到一种情况,就是目标网络的蓝队人员注意到了机器跟域名的通信,然后在浏览器上对此 url 进行访问,响应可能是 404、这样增加了蓝队人员的疑虑,就在防火墙设备上把你这个域名封掉了。导致我们看到的结果可能是短时间内 Beacon shell 全掉了。如何避免这种反查呢?

重定向器是一种 C2 基础架构的设计。这种基础架构设计可能可以帮助缓解这一局面。

如图,通过重定向器:

  • 将符合 CS Malleable C2 profile 中设置的流量特征(

User-Agent、

HTTP GET URI、

HTTP POST URI、

`HTTP Stager URI 等)的访问中转到团队服务器,进行正常命令与控制通信。

  • 将不符合 CS Malleable C2 profile 中设置的流量特征的访问中转到看上去无害的网站,比如目标网站。

这样的好处主要是避免在引起目标网络的蓝队人员的关注后,尽量打消其疑虑、避免其对真实 C2 后端服务器的进一步分析行为。另一方面,如果我们的上线域名被封,真正的 Cobalt Strike 团队服务器的 IP 仍然可以使用,于是可以换一个重定向器,获取新的 IP 和域名,然后重新投入使用。如果在 beacon payload 中设置了多个回连域名,那甚至不需要重新获得初始访问权限。

重定向器的一种简单实现方案是使用 Apache + mod_rewrite。mod_rewrite 是 Apache 的一个模块。此模块提供了一个基于正则表达式分析器的重写引擎来实时重写 URL 请求。但是一般 mod_rewrite 默认是不启动的,需要我们手动去启用它。

这里要注意:在使用了重定向器之后,上线域名应该解析为重定向器的 IP。

具体的操作在此文:https-payload-and-c2-redirectors 中写的很清楚。

现在已有 cs2modrewrite 这个工具帮助根据 Cobalt Strike 的 Malleable C2 profile 一键生成 mod_rewrite .htaccess。

但是注意:

  • mod_rewrite 的规则可以在两个地方配置:一是 apache 配置文件中(如 /etc/apache2/apache.conf),二是网络目录中的 .htaccess 文件中。
  • 分阶段 payload 和 stageless payload 的重定向规则集写法不同。参考此文:Cobalt Strike HTTP C2 Redirectors with Apache mod_rewrite,而本文中使用的 Scripted Web Delivery 就会生成 stageless 的 Beacon payload。

3.配置profile文件

Malleable C2 - Cobalt Strike

这个比较全面,解释了profile语法

1.test.profile

2.bing.profile

root@valuable-text-1:~/coablt_strike_4.5_cracked_www.ddosi.org# ./c2lint bing.profile [-] Error(s) while compiling bing.profile Error: invalid option for <Global> at line 49 steal_token_access_mask Error: invalid option for <Global> at line 52 tasks_max_size Error: invalid option for <Global> at line 53 tasks_proxy_max_size Error: invalid option for <Global> at line 54 tasks_dns_proxy_max_size Error: invalid option for <.process-inject> at line 579 bof_allocator Error: invalid option for <.process-inject> at line 580 bof_reuse_memory [-] Unable to load the Beacon profile bing.profile

jquery-c2.4.3.profile not working · Issue #11 · threatexpress/malleable-c2 · GitHub

看了这篇回答,问题原因可能是使用的4.5cs 而这个profile是4.7的

bing.profile

3.csdn 从零

从0写一个cs的profile文件_cs profile_Shanfenglan7的博客-优快云博客

0_1.profile

4.根据burpsuite生成

GitHub - Peithon/JustC2file: Burp插件,Malleable C2 Profiles生成器;可以通过Burp代理选中请求,生成Cobalt Strike的profile文件(CSprofile)

这个比较好使,虽然说支持到cs4.3,但是似乎是向上版本兼容的,4.7不兼容4.5;4.3兼容4.5

生成了tool1.profile,可用。

Cobalt Strike流量特征分析
weixin_52741673的博客
07-21 8077
cobalt strike流量特征分析
Cobaltstrike去除特征
Ms08067安全实验室
12-02 6291
本文作者:BlackCat(Ms08067实验室内网小组成员)前言:红蓝对抗的时候,如果未修改CS特征、容易被蓝队溯源。去特征的几种方法:1、更改默认端口方法一、直接编辑teamser...
SecondaryDevCobaltStrike:二次开发过后的CobaltStrike,版本为4.1.在原来CobaltStrike的基础上修改多处特征,解决流量查杀问题
04-16
先赞后看,已成习惯.如有后门,我必完蛋:star: 关于二次开发后的CobaltStrike 默认的CobaltStrike内存在多处流量特征,在马儿与服务端建立连接时进行流量交互.此间存在多处可疑特征已被各大杀软记录在册 如:卡巴斯基,诺顿,迈克菲等,但国内杀软并无此功能. 所以在客户端进行免杀的同时服务端在流量交互方面也需要特征去除,才产生了二次开发后CobaltStrike. 此次二开为CobaltStrike4.1版本. 效果截图 迈克菲截图 卡巴斯基截图 诺顿截图 注:所有的CobaltStrike上线未被查杀都基于客户端的马儿未被AV静态查杀的前提下,达到了动态免杀. 使用方法 1.cobaltstrike.jar文件替换服务端的原有jar 2.cobaltstrike.jar文件替换客户端的原有jar 3.请确保服务端或客户端的Java环境在Jdk10以上(包含JDK10) 使用中
Cobalt Strike特征修改
qq_50854662的博客
06-01 3346
修改cs特征
Cobalt Strike流量去特征
qq_63980959的博客
09-25 1873
比如我们可以在配置文件中修改http beacon在staging时下载payload所请求的url,但问题在于,即时更改配置文件,符合checksum8算法的url依然是可被主动访问的,但我们如果直接修改checksum8算法的源码就可以避免这种问题。遇到这些对手,需要让beacon和其他后渗透模块高度自定义,这里面涉及到很多方面,静态和行为都需要改造,所以单从魔改CS的客户端、服务端和控制端已经远远不够了,并且灵活度太低,参考快乐鸡哥用C#重写的SharpBeacon。生成项目后,删除自动生成的。
Cobalt Strike4.0修改指纹信息
Web安全工具库
07-18 1290
她只是随口说说,而你却当了真,你认真努力的样子最终感动了自己。。。 ---- 网易云热评 一、修改证书信息 1、查看证书 root@kali:~/cobaltstrike4.0#keytool -list -v -keystore cobaltstrike.store 输入默认密钥库口令:123456 2、修改别名、所有者、发布者 打开teamserver,修改上面的属性 如果把密码修改后,再运行后会报如下错误,所以先不修改其他属性 3、修改证书密码 root...
Cobalt Strike
06-17
CobaltStrike集成了端口转发、扫描多模式端口Listener、Windows exe程序生成、Windows dll动态链接库生成、java程序生成、office宏代码生成,包括站点克隆获取浏览器的相关信息等。 CS功能 Cobalt Strike可以使用 ...
CobaltStrike4.X之去除CheckSum8特征1
08-03
cobaltstrike.jar 和 CrackSleeve.java 放在同一目录下,通过以下命令进行编译和解密: ```shell javac -encoding UTF-8 -classpath cobaltstrike.jar CrackSleeve.java java -classpath cobaltstrike.jar;....
cobaltstrike去除特征
技术超强的网络安全平台
09-22 165
cobaltstrike去除特征 SSL证书设置 : 此设置控制用于HTTPS通信的SSL证书。如果可能的话,请为你正在使用的域使用真实的,正确发布的SSL证书。LetsEncrypt可以发布所有主要操作系统和浏览器都信任的免费SSL证书,并且会让防御者更难以检查Beacon流量。 生成SSL证书命令 keytool -genkey -alias tenet -keyalg RSA -validity 36500 -keystore tenet.store tenet tenet.store这两个字符串要记
CobaltStrike去除特征
2301_76786857的博客
02-18 444
svchost.exe是微软Windows操作系统中的系统文件,微软官方对它的解释是:svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。这里面的id代表的是task id,任务执行后,beacon需要利用post方式来与c2进行通信,需要传送一个唯一的task id值,还需要传送回显。现在的大多数硬件WAF防护设备都能检测出来Cs的流量特征,所以我们必须要修改CS的流量特征,CS的流量由malleable C2配置来掌控的,所以我们需要定向去配置这个C2。
内网神器Cobalt Strike隐藏特征与流量混淆.
2301_80115097的博客
04-30 1579
由于上次还没有写好https上线的东西,今天加班加点的弄出来了。本文内容如有错误,望及时告知,以免误导他人.
免杀0到1--端口和证书的修改
qq_37107430的博客
12-05 442
免杀就是反杀毒技术,主要是指让恶意软件(如病毒、木马、蠕虫等)能够躲避杀毒软件的检测。其目的是使恶意程序在目标系统上能够顺利运行,而不被安全防护工具发现和拦截。
Cobalt Strike配置
m0_66993332的博客
05-19 655
Cobalt Strike的配置
解决Unable to access jarfile问题
m0_60465953的博客
10-17 2648
这个问题我今天遇到了,问题在于,你把jar文件放错了位置。你把他和调用它的文件放在一起,假设在/a/b/c/下。但是实际上项目的相对路径是从/a/b/开始的。假设项目在/a/b/下运行的。
java -jar启动 报错: Error: Unable to access jarfile
weixin_64713614的博客
10-18 7401
将绝对路劲修改为相对路劲或者将相对路劲修改为绝对路劲,尝试一下。修改JDK版本即可。
【Linux】Error: Unable to access jarfile xxx.jar
JZJ_LYH的博客
08-11 3978
Error: Unable to access jarfile xxx.jar解决方案
Cobalt Strike使用教程——基础篇
热门推荐
Captain_RB的博客
06-10 2万+
本文主要介绍 **Cobalt Strike** 4.3 的基本功能及使用方法
cobalt strike流量特征
最新发布
02-25
Cobalt Strike是一款用于渗透测试的工具,它模拟高级持续性威胁(APT),以帮助组织评估其安全防御能力。由于它的隐蔽性和复杂的功能,在网络流量中的特征也较为特殊。 ### Cobalt Strike 流量的主要特征: 1. **Beacon通信**: - **定期检查**:受感染主机通过HTTP(S)协议向攻击者控制服务器发送心跳请求,默认间隔时间可以自定义配置。 - **混淆技术**:为了逃避检测,Cobalt Strike通常会对信标数据包进行加密、编码等处理; 2. **DNS隧道化**: - 使用DNS查询作为命令与控制通道的一部分; 3. **HTTPS/HTTP伪装**: - 攻击载荷会隐藏于看似合法的企业网站或其他常见服务端口下的GET/POST请求里; - 可能包含非标准User-Agent字符串或异常长URL路径; 4. **文件上传下载操作**: - 当执行某些任务如窃取信息时会产生较大规模的数据传输活动,并且目标通常是敏感文档目录; 5. **Malleable C2 Profiles** (可塑化的C&C配置文件): - 用户可以根据环境定制C2通讯模式及报文格式,使得每次使用的网络指纹都不尽相同,增加了识别难度; 6. **反取证措施**: - 经常采用各种手段避免留下明显的日志记录痕迹,例如清除事件查看器里的特定条目或是修改系统时间戳。 对于企业而言,监测此类恶意软件的关键在于建立强大的内部监控机制以及利用专业的网络安全解决方案来进行深度分析和防护。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值