如何使用BeaconEye监控CobaltStrike的Beacon

最新推荐文章于 2025-02-14 20:46:22 发布
原创 最新推荐文章于 2025-02-14 20:46:22 发布 · 759 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#git #运维 #github

BeaconEye是一款针对CobaltStrike的安全工具,能够扫描和监控活动的CobaltStrikeBeacon进程,检测C2流量。它支持HTTP/HTTPSBeacon,能解码AES密钥以提取和解密输出。功能包括日志记录、配置导出、命令输出显示等。工具可用于研究,提供GitHub源码下载,并给出了使用参数选项。

关于BeaconEye

BeaconEye是一款针对CobaltStrike的安全工具,该工具可以扫描正在运行的主动CobaltStrike
Beacon。当BeaconEye扫描到了正在运行Beacon的进程之后,BeaconEye将会监控每一个进程以查看C2活动。

工作机制

BeaconEye将会扫描活动进程或MiniDump文件,以尝试检测CobaltStrike Beacon。在活动进程模式下,CobaltStrike
Beacon可以将其以调试器的身份与目标进程绑定,监控Beacon活动以识别C2流量(当前版本的BeaconEye支持HTTP/HTTPS Beacon)。

用于加密C2数据和mallable配置文件的AES密钥会被动态解码,这将允许BeaconEye能够在操作人员发送命令时提取和解密Beacon的输出。

每个进程都会创建一个活动日志文件夹,该文件夹与执行BeaconEye的当前目录对应。

功能介绍

每个进程一个日志文件夹;

导出Beacon配置;

显示大多数Beacon命令的输出;

保存屏幕截图;

检测单独的和注入的Beacon;

检测使用内置sleep_mask隐藏的Beacon;

扫描正在运行的进程或离线Minidump文件;

工具下载

广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

git clone https://github.com/CCob/BeaconEye.git

工具使用

BeconEye by @_EthicalChaos_

  CobaltStrike beacon hunter and command monitoring tool x86_64
最低0.47元/天 解锁文章
IBeacon的完整使用
05-06
一个完整的ibeacon项目的示例,可以检测到附近的ibeacon信号,并且进行展示。同时也写入了部分的室内地图功能。
浅析 CobaltStrike Beacon Staging Server 扫描1
08-03
【Cobalt Strike Beacon Staging Server】是Cobalt Strike渗透测试工具中的一部分,它涉及到网络安全、软件插件和渗透测试领域。Cobalt Strike是一款广泛使用的红队工具,允许安全专家模拟攻击行为,测试组织的安全...
BeaconEye说起,围绕CS内存特征的检测与规避
dzqxwzoe的博客
08-01 758
2021年8月BeaconEye项目发布,这是一个基于CobaltStrike内存特征进行检测的威胁狩猎工具。BeaconEye具有优秀的检出率与检测效率,使大多数已有规避技术无效化,在网络安全圈内掀起了关于CS内存攻防的新一轮讨论热潮。
探照灯BeaconEye:您的CobaltStrike猎手与监控利器
gitblog_00069的博客
05-09 509
探照灯BeaconEye:您的CobaltStrike猎手与监控利器 BeaconEye 是一款强大的工具,专为检测和监控运行中的CobaltStrike信标而设计。它能深入剖析进程,寻找潜在的恶意活动,并在发现信标时跟踪其通信行为。这款工具由安全专家@EthicalChaos 创建,旨在提供对系统安全状况的深刻洞察。 项目技术分析 BeaconEye采用实时扫描和迷你转储文件分析两种模式。在实时...
利用Beacon 监控Tuxedo
ari的专栏
03-13 2042
BEA的Tuxedo产品在金融软件中如雷贯耳,笔者在平日的工作中也大量接触Tuxedo产品, 并做一些监控运维工作,但网络上可以查找的TUXEDO监控资源很少,而Tuxedo产品网站也多数是英文,且专业性太强,用起来不是很得心应手。 近日,在网络中发现某一款国产Tuxedo监控软件,简单试用了一下,觉得还有一定价值,特地来分享
Cyberchef实战之-Cobalt Strike beacon 还原揭秘
村中少年的专栏
07-27 876
通过cyberchef分析一段使用了base64,压缩,xor,charcode等多种方式的Cobalt Strike beacon样本,为护网HVV,重保互动,日常网络安全运营分析,提供参考思路
CobaltStrike逆向学习系列(9):Bypass BeaconEye - Beacon 堆混淆
SecSource_Stars的博客
01-21 800
这是[信安成长计划]的第 9 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 CS4.5 Sleep_Mask 0x02 HeapEncrypt 0x03 效果 0x04 参考文章 在之前的文章《Bypass BeaconEye》中提过了两个 Bypass BeaconEye 的方法,都是通过打乱 C2Profile 结构来做的,还有另外一种方式就是在 Sleep 的时候加密堆内存,在 CS4.5 中也对 Sleep_Mask 进行了更新 0x01 CS4.5 Sleep_Mask 根据
Cobaltstrike与msf
goddemon
12-12 1697
使用方法 ①在cs安装目录中,执行(注意管理员权限下) .\Keytool.exe -keystore ./cobaltstrike.store -storepass 123456 -keypass 123456 -genkey -keyalg RSA -alias cobaltstrike -dname "CN=Major Cobalt Strike, OU=AdvancedPenTesting, O=cobaltstrike, L=Somewhere, S=Cyberspace, C=Earth"
事件响应-工具源码学习--beaconEye扫描原理
最新发布
qq_44606373的博客
02-14 1090
然后就是开始根据获取到的进程信息进行循环,遍历所有进程,跳过自身进程,对每个进程通过NewProcessScan函数初始化进程扫描相关信息,根据进程是32位还是64位选择合适的matchArray和nextArray,并调用processScan.SearchMemory函数将相关信息发送到searchIn通道,触发对该进程内存的搜索。总的原理,获取内存信息,利用sundy算法实现规则数组与内存信息的快速匹配(从文本的左端开始,将模式串与文本对齐。),从而实现C2进程的检索。方便后续在内存中进行扫描。
802.11 Beacon包参数解析
10-14
自己做的OMNIPEEK,以及wireshark版本beacon包解析. 两种抓包工具抓出的结果不太一样,但是可以互相补充。 这个文档可以用来了解802.11 mac层的各个参数。 802.11初学者必备。后续会慢慢丰富此文档。
[钴击]Cobalt Strike内网渗透工具
qq_60115503的博客
09-04 1689
1.添加新的Cobalt Strik团队服务器2.删除当前的Cobalt Strik团队服务器3.新建一个监听器4.切换图形化会话按钮5.切换列表话会话按钮6.以列表方式显示目标7.密码凭证栏按钮8.下载文件列表9.键盘记录表10.屏幕截图表11.生成windows下可执行木马12.生成java签名的applet攻击13.生成office宏攻击14.生成powershell后门15.文件托管按钮16.管理web站点17.帮助文档18.关于。
Cobalt Strike 后渗透工具
m0_65554829的博客
11-20 266
Cobalt Strike 一款以Metasploit为基础的GUI框架式渗透测试工具,集成了端口转发、服务扫描,自动 化溢出,多模式端口监听,exe、powershell木马生成等。钓鱼攻击包括:站点克隆,目标信息获取,java执行,浏览器自动攻击等。Cobalt Strike 主要用于团队作战,可谓是团队渗透神器,能让多个攻击者同时连接到团体服务器上,共享攻击资源与目标信息和sessions。
CobaltStrike逆向学习系列(11):自实现 Beacon 检测工具
SecSource_Stars的博客
02-03 922
这是[信安成长计划]的第 11 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 检测原理 0x02 检测方案 0x03 存在的问题 0x04 解决方案 0x05 示例代码 0x06 写在最后 年也过了,继续开始卷卷卷… 目前使用比较多的检测工具就是 BeaconEye,在之前的文章中也已经提到过它的检测原理与 Bypass 的方法《Bypass BeaconEye》《Bypass BeaconEye - Beacon 堆混淆》,BeaconEye 所依赖的就是 C2Profile 解析后
CobaltStrike逆向学习系列(5):Bypass BeaconEye
SecSource_Stars的博客
01-10 587
这是[信安成长计划]的第 5 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 BeaconEye 检测原理 0x02 Bypass 1 0x03 Bypass 2 0x04 效果图 在之前的三篇文章《Stageless Beacon 生成流程分析》《Beacon C2Profile 解析》《Beacon 上线协议分析》中,已经穿插着将 C2Profile 的全部内容介绍完了,也把 Bypass 所需要的一些内容也都穿插着提到过了,接下来就该说如何对其进行 Bypass 0x01 Beac
Cobalt Strike使用教程——基础篇
热门推荐
Captain_RB的博客
06-10 2万+
本文主要介绍 **Cobalt Strike** 4.3 的基本功能及使用方法
Cobalt Strike(cs神器)简洁功能介绍、被控端常见执行命令
weixin_44257023的博客
07-02 3188
是一款美国开发的渗透测试神器,常被业界人称为。最近这个工具大火,成为了渗透测试中不可缺少的利器。其拥有多种协议主机上线方式,集成了,凭据导出,端口转发,,office攻击,,等功能。同时,Cobalt Strike还可以调用Mimikatz等其他知名工具,因此广受黑客喜爱 分为客户端和服务端可分布式操作可以协同作战 shell 执行cmd命令操作...
Cobalt Strike前期使用以及排坑
wh1te 小白的博客
01-09 3102
开启Cobaltstrike teamserver和运行GUI界面均需要Java环境 ps:最好是10.0.1版本 其他版本的java 我运行有些问题 服务器端开启: 进入Cobaltstrike 目录 [root@VM_0_5_centos ~]# cd CobaltStrike 开启服务端服务: [root@VM_0_5_centos CobaltS...
使用Go实现CobaltStrike Beacon工具的教程
标题中的“geacon:练习Go编程并在Go中实现CobaltStrikeBeacon”涉及到了两个主要方面:Go语言编程和CobaltStrike这款商业渗透测试工具的使用。而描述中提供了该项目的具体操作步骤,同时也明确提到了该项目仅用于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值