C
C
Cobalt Strike
搜索文档…
C
C
Cobalt Strike
前言
目录
Cobalt Strike简介
Cobalt Strike基本使用
Cobalt Strike Beacon命令
Cobalt Strike脚本使用
Cobalt Strike脚本编写
Cobalt Strike扩展
Malleable C2
External C2
CS证书相关
CS Beacon和监听器
转发重定向
CDN代理转发
CDN与转发器
CS部分功能启用
CS检测工具CobaltStrikeScan绕过
联动Core impact
一些注意事项和Tips
Cobalt Strike原理介绍
Cobalt Strike攻击防御
说明
GitBook 提供支持
一些注意事项和Tips
写一些注意事项和Tips吧其实这个部分可写可不写基本上都是一些大家熟知的玩意
  1. 1.
    首先是默认profile不要使用,因为这个东西具有流量特征,而且配置的也不好
  2. 2.
    关于cobaltstrike.store默认证书这个也不要使用,你可以使用假证书,但是你不能直接使用keytool -keystore ./cobaltstrike.store -storepass 123456 -keypass 123456 -genkey -keyalg RSA -alias cobaltstrike -dname "CN=Major Cobalt Strike, OU=AdvancedPenTesting, O=cobaltstrike, L=Somewhere, S=Cyberspace, C=Earth" 这条命令生成一个证书然后直接使用
  3. 3.
    默认端口号这个不用说该改要改
  4. 4.
    分阶段payload上线这个不要用直接禁用,其实说这个不仅是因为与之前的checksum8算法url特征有关,更主要是因为大部分人你不是漏洞利用你用段小shellcode去加载一个大shellcode(Beacon.dll)完全没有这个必要反而这个特征更为明显,推荐的方法是视情况导出Beacon后自行托管或内嵌这个看个人
  5. 5.
    关于.cobaltstrike.beacon_keys文件,这个文件与CS流量加密密切相关,最近也有一篇文章写了用这个解密,我之前在原理介绍篇中也写到过解密相关的内容这个其实不用担心,CS流量被解密是不太可能的。因为CS是RSA非对称算法交换AES密钥只要你的.cobaltstrike.beacon_keys文件没有被人拿到那就解不了,同时我所发的CS里是一律不携带.cobaltstrike.beacon_keys文件的。
  6. 6.
    基本上对于所有的流量特征问题你都可以通过自行配置profile文件解决
反正说了这么多重点就在禁用分阶段,profile文件,设施搭建,基本上看到所有捕获CS流量都是以默认配置为标准或者以sleep定时心跳包为标准这些其实都不是问题
关于恶意上线这个没啥好说的你都被人发现那就证明你该撤了,注意保证自己不要被人发现
以前
联动Core impact
下一个
Cobalt Strike原理介绍
最近更新 7mo ago
复制链接