91超碰碰碰碰久久久久久综合_超碰av人澡人澡人澡人澡人掠_国产黄大片在线观看画质优化_txt小说免费全本

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

如何進行Cobalt Strike檢測方法與去特征的思考

發布時間:2021-12-24 11:08:44 來源:億速云 閱讀:359 作者:柒染 欄目:網絡管理

本篇文章為大家展示了如何進行Cobalt Strike檢測方法與去特征的思考,內容簡明扼要并且容易理解,絕對能使你眼前一亮,通過這篇文章的詳細介紹希望你能有所收獲。

人云亦云

關于檢測Cobalt Strike的方法有很多,而網上有一些文章會告訴大家如何修改所謂的特征值,但是這些方法實際上存在一定的誤導和盲區

一般發現Cobalt Strike服務器的途徑有以下幾種(簡單分類,不準確,勿噴)

樣本分析

中馬回連

黑客連主控端

掃描發現

這里被使用的比較多的就是掃描發現,同時網上一些文章提到Cobalt Strike默認的SSL/TLS證書是固定的,所以一般都是使用這個證書作為特征值來發現Cobalt Strike服務器

所以,今天我們主要討論這個默認SSL/TLS證書的問題

證書修改

現在讓我們提取這個證書的相關信息

如何進行Cobalt Strike檢測方法與去特征的思考

根據網上一些文章的修改方法,我們需要使用keytool修改證書信息,方法如下

如何進行Cobalt Strike檢測方法與去特征的思考

默認的證書具有很明顯的特征,例如

O=cobaltstrike, OU=AdvancedPenTesting, CN=Major Cobalt Strike

我們拿這個信息去檢索就可以發現許多Cobalt Strike服務器

但是這里忽略了一個問題,你到底修改的是什么證書,是主機上線的時候使用的嗎?

這個證書是teamserver主控端使用的加密證書(默認端口50050)

如何進行Cobalt Strike檢測方法與去特征的思考

修改這個證書以后teamserver服務器主控端的特征是沒了

之前有一些人hunting C2服務器使用的就是這個規則

例如在fofa.so中,就有一條規則叫

protocol=="cobaltstrike"

如何進行Cobalt Strike檢測方法與去特征的思考

當然,我們也可以使用

cert="Major Cobalt Strike"

直接搜索

如何進行Cobalt Strike檢測方法與去特征的思考

這里需要注意,使用

cert="Major Cobalt Strike"

搜索會發現有一些主機并沒有被標注為Cobalt Strike服務器

如何進行Cobalt Strike檢測方法與去特征的思考

(存在漏網之魚

當然為了保證數據的時效性,我們在fofa.so搜索的時候最好加上

after="2020-01-01"

如何進行Cobalt Strike檢測方法與去特征的思考

重要的分割線!!!!注意!!!!

但是!https上線使用的證書,并不是上邊我們修改的那一個,并且這個證書也是默認的...

證書信息如下圖:

如何進行Cobalt Strike檢測方法與去特征的思考

如果想要修改這個證書,需要修改Malleable C2 profile

如何進行Cobalt Strike檢測方法與去特征的思考

其中Self-signed Certificates with SSL Beacon和Valid SSL Certificates with SSL Beacon是用來修改https上線使用的證書的,Self-signed Certificates with SSL Beacon根據字母意思理解,就是自己設定的自簽名證書,還有如果使用了Valid SSL Certificates with SSL Beacon,我們在之前通過keytool設置的證書也可以用的上,但是這里應該讓我們使用的是真實的證書,不管是偷來的還是買來的,用就完了

Let's Hunt!

使用fofa.so搜索相關證書信息

cert="73:6B:5E:DB:CF:C9:19:1D:5B:D0:1F:8C:E3:AB:56:38:18:9F:02:4F" && after="2020-01-01"

如何進行Cobalt Strike檢測方法與去特征的思考

使用censys.io搜索相關信息

443.https.tls.certificate.parsed.fingerprint_sha256:87f2085c32b6a2cc709b365f55873e207a9caa10bffecf2fd16d3cf9d94d390c

如何進行Cobalt Strike檢測方法與去特征的思考

這里我們可以發現一些有趣的現象,例如有些服務器的50050端口也開了,teamserver主控端的證書確實也是修改了,這證明攻擊者還是會看一下文章學習如何去特征,但不幸的是只修改了一個

僅僅是掃描ip就能拿到所有證書嗎?不能,我們也需要掃描域名,還有就是https也不一定只開在443端口上

據我們了解,好多人搭建C2服務器的方法都比較原始,比如在某云搭建C2服務器,不會使用slb/elb轉發請求,不會使用security group控制訪問,不會使用一些高明的隱藏C2的方法。并且爛大街的Domain fronting、CDN上線、高信譽服務等等也不會使用,就是上線梭哈一把刷.....真的是給藍隊兄弟們一條生路

等等,到這就完了嗎?

檢測加密流量

如果這些信息都修改了我們該怎么辦那?

實際上還是有方法去檢測的

我們可以參考https://github.com/salesforce/ja3這個項目

簡單科普一下JA3

JA3方法用于收集Client Hello數據包中以下字段的十進制字節值:版本、可接受的密碼、擴展列表、橢圓曲線密碼和橢圓曲線密碼格式。然后,它將這些值串聯在一起,使用“,”來分隔各個字段,同時,使用“-”來分隔各個字段中的各個值。

如何進行Cobalt Strike檢測方法與去特征的思考

這里相當于把支持的TLS擴展信息,都收集起來當作一個特征值來用(除了客戶端發起的,還有關于服務器的JA3S)

這其實算一種降維打擊,并且我們發現主流在線沙箱、主流IDS大都支持了JA3/JA3S指紋檢測。

上述內容就是如何進行Cobalt Strike檢測方法與去特征的思考,你們學到知識或技能了嗎?如果還想學到更多技能或者豐富自己的知識儲備,歡迎關注億速云行業資訊頻道。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

扬中市| 临清市| 乌兰浩特市| 潮安县| 绍兴市| 寻乌县| 桐城市| 托克逊县| 蓬溪县| 金华市| 文山县| 吴忠市| 绵阳市| 江阴市| 泽库县| 横峰县| 拜城县| 龙胜| 扬中市| 瑞金市| 屯昌县| 阜宁县| 五河县| 册亨县| 凤庆县| 潞西市| 甘孜县| 石棉县| 会昌县| 常熟市| 若羌县| 错那县| 合肥市| 丰宁| 黔江区| 新安县| 丰台区| 西宁市| 吴川市| 固安县| 海林市|