介绍
GraphStrike 是一套工具,使 Cobalt Strike 的 HTTPS Beacon 能够使用Microsoft Graph API进行 C2 通信。所有 Beacon 流量将通过攻击者的 SharePoint 站点中创建的两个文件进行传输,并且来自 Beacon 的所有通信都将路由到https://graph.microsoft.com:
GraphStrike 包含一个配置程序,用于通过 Graph API 创建 Cobalt Strike HTTPS 所需的 Azure 资产:
威胁背景: 针对多个不同的高级持续性威胁(APT)的威胁情报已经发布,它们利用Microsoft Graph API和其他Microsoft服务进行攻击性活动。
-
BLUELIGHT - APT37/InkySquid/朝鲜组织
-
Graphite - APT28/花式熊
-
Graphican - APT15/镍/跳蚤
-
SiestaGraph - 未知
威胁行为者继续利用合法服务进行非法活动。使用高声望域graph.microsoft.com进行C2通信非常有效和可取,但往往在时间和精力上复杂和难以实现。大多数C2框架不支持获取或轮换访问令牌的方法,这使它们无法使用Graph API。这使得红队难以复制这些技术,并剥夺了防御者观察和开发此类活动签名的机会。GraphStrike旨在减轻这一负担,并提供一种可靠且可重复的过程,以利用Microsoft Graph API,同时保持Cobalt Strike用户体验的熟悉性和可靠性。
GraphStrike 特征:
GraphStrike 支持几乎所有正常的 Cobalt Strike 活动,包括:
-
通过 Cobalt Strike SOCKS 代理使用 Proxychains(尽管速度很慢......)
-
大文件上传/下载
-
BOF、执行组装等
这还包括 GraphStrike 集成睡眠、退出和删除命令,以将 GraphStrike 服务器睡眠时间与 Beacon 相匹配,以及在退出或删除 Beacon 时删除 SharePoint 中的文件。
GraphStrike 项目地址:
https://github.com/RedSiege/GraphStrike?tab=readme-ov-file
原文始发于微信公众号(Ots安全):基于 Microsoft Graph API 的 Cobalt Strike HTTPS 信标
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论