Cobalt Strike 流量特征
A_Snail Lv3
  2023-08-18 13:50:05 2023-08-18 13:50   2023-08-19 08:48:56      513 字  2 分钟  

Cobalt Strike 流量特征

总结来源于网上资料, 有错的地方欢迎各位大佬指正。

简介

简介:Cobalt Strike is software for Adversary Simulations and Red Team Operations. Cobalt Strike 简称CS, A-team详细介绍使用网址。CS是一款优秀的后渗透工具,可以在获取主机权限后进行长久权限维持,快速进行内网提权,凭据导出等。在后渗透中如果未修改特征,容易被流量审计设备监控,被蓝队溯源。

Cobalt Strike 是一个为对手模拟和红队行动而设计的平台,主要用于执行有目标的攻击和模拟高级威胁 者的后渗透行动

特征

默认端口 50050

SSL 证书流量特征:

  • keystore type: jks
  • Alias name: cobaltstrike
  • Own: CN=Major Cobalt Strike
  • Issuer: CN=Major Cobalt Strike

默认 C/S 端通讯证书:字段和固定哈希值识别

可以看到beacon的通信

对比正常的http流量,CS的http通信流量具有以下几个特征:

心跳包特征

  • a) 间隔一定时间,均有通信,且流级上的上下行数据长度固定;

域名/IP特征

  • a) 未走CDN、域前置的,域名及IP暴露
  • b) 走CDN、域前置的,真实IP会被隐藏;

指令特征

  • a)	下发指令时,通过心跳包接收指令,这时,server端返回的包更长,甚至包含要加载的dll模块数据。

  • b)	指令执行完后,client端通过POST请求发送执行的结果数据,body部分通过加密和base64编码。

  • c)	不同指令,执行的时间间隔不一样,可以通过POST请求和GET请求的间隔进行判断。

数据特征

  • a) 在请求的返回包中,通信数据均隐藏在jqeury*.js中。

去除特征的方法

修改默认端口50050

修改默认ssl证书

修改profile

image

  • 本文标题Cobalt Strike 流量特征
  • 本文作者A_Snail
  • 创建时间2023-08-18 13:50:05
  • 本文链接2023/08/18/Cobalt Strick 的流量特征/
  • 版权声明本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!
  1. 1. Cobalt Strike 流量特征
    1. 1.1. 简介
      1. 1.1.1. 简介:Cobalt Strike is software for Adversary Simulations and Red Team Operations. Cobalt Strike 简称CS, A-team详细介绍使用网址。CS是一款优秀的后渗透工具,可以在获取主机权限后进行长久权限维持,快速进行内网提权,凭据导出等。在后渗透中如果未修改特征,容易被流量审计设备监控,被蓝队溯源。
      2. 1.1.2. Cobalt Strike 是一个为对手模拟和红队行动而设计的平台,主要用于执行有目标的攻击和模拟高级威胁 者的后渗透行动
    2. 1.2. 特征
      1. 1.2.1. 默认端口 50050
      2. 1.2.2. SSL 证书流量特征:
      3. 1.2.3. 默认 C/S 端通讯证书:字段和固定哈希值识别
      4. 1.2.4. 可以看到beacon的通信
    3. 1.3. 对比正常的http流量,CS的http通信流量具有以下几个特征:
      1. 1.3.1. 心跳包特征
      2. 1.3.2. 域名/IP特征
      3. 1.3.3. 指令特征
      4. 1.3.4. 数据特征
    4. 1.4. 去除特征的方法
      1. 1.4.1. 修改默认端口50050
      2. 1.4.2. 修改默认ssl证书
      3. 1.4.3. 修改profile