Cobalt Strike – 绕过C2网络检测_集群智慧网络安全云
全国客户服务热线:4006-054-001 疑难解答:159-9855-7370(7X24受理投诉、建议、合作、售前咨询),173-0411-9111(售前),155-4267-2990(售前),座机/传真:0411-83767788(售后),微信咨询:543646
企业服务导航

Cobalt Strike – 绕过C2网络检测

发布日期:2024-05-19 浏览次数: 专利申请、商标注册、软件著作权、资质办理快速响应热线:4006-054-001 微信:15998557370


Cobalt Strike – 绕过C2网络检测

文章来源:潇湘信安 这篇文章为机器翻译文,如有英文阅读能力建议阅读原文:https://newtonpaul.com/cobalt-strike-bypassing-c2-network-detections/ 0x01 介绍 在这篇小博文中,我们将研究如何轻松绕过 Cobalt Strike beacon 的网络检测。Symantec Endpoint Protection (SEP) 等许多 AV 产品都具有网络检测功能,可以监控通过设备网络接口的流量。此外,IDS 和 IPS 还具有对 C2 流量的基本检测,这些检测基本上是在网络数据包中寻找特定的模式。 对于像 Cobalt Strike 这样的流行工具,beacon的基本“开箱即用”设置由供应商进行指纹识别,因此会被检测到。 在 Cobalt Strike 中,Malleable 配置文件用于定义 C2 的设置。您可以为 C2 选择不同的协议,HTTP、HTTPS 和 DNS 是三种流行的协议。由于有效负载未加密,HTTP beacon 很容易被检测到。对于 HTTPS 连接,会在用于加密的证书上进行检测。 与任何利用工具一样,如果您使用默认值,很可能会被检测到。GitHub 上有可供使用的 Malleable 配置文件,这些配置文件将更改您的默认 C2 设置。然而,这些也已经被指纹识别,并且也会产生检测。GitHub 上提供的配置文件更多地旨在测试您对过去在野外看到的不同 APT 和 CrimeWare C2 的检测能力。 https://github.com/rsmudge/Malleable-C2-Profiles 0x02 解决方案 幸运的是,Cobalt Strike Malleable C2 配置文件是高度可定制的。事实上,定制化是 Cobalt Strike 如此受欢迎且如此有效的原因之一。您可以编写自己的个人资料,并且有一些在线指南向您展示如何执行此操作。 但是,还有一种更简单的方法,C2 Concealer。该工具由 FortyNorth Security 创建,于去年发布,具有 Python 脚本,可根据用户定义的几个变量生成 C2 配置文件。 https://github.com/FortyNorthSecurity/C2concealer 0x03 演示 安装很简单,只需克隆 GitHub 存储库,然后运行安装脚本即可。 安装完成后,运行脚本并定义您希望使用的主机名。 C2concealer --hostname newtpaul.com --variant 1 接下来,C2Concealer 将扫描您的主机以定位 c2lint 所在的位置。C2lint 是 CobaltStrike 附带的一个工具,用于在使用配置文件之前对其进行测试/故障排除。 扫描完成后,系统会要求您选择 SSL 选项。使用合法的 LetsEncrypt 证书显然是避免检测的最有效方法。但是,这需要您将 A 记录指向您的团队服务器。为此,我们将只使用自签名证书。 系统会要求您填写证书的一些基本信息,你在这里放什么并不重要。 完成后,您应该会收到配置文件已通过 c2lint 检查的确认信息。还将显示新创建的配置文件的名称。 接下来,启动您的团队服务器,但这次定义要加载的配置文件。 sudo ./teamserver 192.168.1.21 *Password* ~/C2concealer/C2concealer/34c5a462.profile 生成您选择的新监听器和有效载荷。 0x05 之前 VS 之后 在使用我们新创建的配置文件之前,SEP 阻止了与 Cobalt Strike 团队服务器的出站连接。这是仅使用默认 C2 配置文件时的情况。 但是,在使用我们新创建的配置文件后,没有任何内容被阻止,我们能够成功建立 C2。

Cobalt Strike – 绕过C2网络检测