一些注意事项和Tips

写一些注意事项和Tips吧其实这个部分可写可不写基本上都是一些大家熟知的玩意

  1. 首先是默认profile不要使用,因为这个东西具有流量特征,而且配置的也不好

  2. 关于cobaltstrike.store默认证书这个也不要使用,你可以使用假证书,但是你不能直接使用keytool -keystore ./cobaltstrike.store -storepass 123456 -keypass 123456 -genkey -keyalg RSA -alias cobaltstrike -dname "CN=Major Cobalt Strike, OU=AdvancedPenTesting, O=cobaltstrike, L=Somewhere, S=Cyberspace, C=Earth" 这条命令生成一个证书然后直接使用

  3. 默认端口号这个不用说该改要改

  4. 分阶段payload上线这个不要用直接禁用,其实说这个不仅是因为与之前的checksum8算法url特征有关,更主要是因为大部分人你不是漏洞利用你用段小shellcode去加载一个大shellcode(Beacon.dll)完全没有这个必要反而这个特征更为明显,推荐的方法是视情况导出Beacon后自行托管或内嵌这个看个人

  5. 关于.cobaltstrike.beacon_keys文件,这个文件与CS流量加密密切相关,最近也有一篇文章写了用这个解密,我之前在原理介绍篇中也写到过解密相关的内容这个其实不用担心,CS流量被解密是不太可能的。因为CS是RSA非对称算法交换AES密钥只要你的.cobaltstrike.beacon_keys文件没有被人拿到那就解不了,同时我所发的CS里是一律不携带.cobaltstrike.beacon_keys文件的。

  6. 基本上对于所有的流量特征问题你都可以通过自行配置profile文件解决

反正说了这么多重点就在禁用分阶段,profile文件,设施搭建,基本上看到所有捕获CS流量都是以默认配置为标准或者以sleep定时心跳包为标准这些其实都不是问题

关于恶意上线这个没啥好说的你都被人发现那就证明你该撤了,注意保证自己不要被人发现

上一页联动Core impact下一页Cobalt Strike原理介绍

最后更新于