工具的使用 | CobaltStrike证书修改躲避流量审查

admin 2020年8月18日14:34:14评论1,093 views字数 1799阅读5分59秒阅读模式
工具的使用 | CobaltStrike证书修改躲避流量审查
CobaltStrike证书修改躲避流量审查
工具的使用 | CobaltStrike证书修改躲避流量审查

目录

Keytool

keystore

创建新的CobaltStrike.store

工具的使用 | CobaltStrike证书修改躲避流量审查


在红蓝对抗中,防守方往往会有很多的设备审计流量。Cobalt Strike 服务端和客户端是通过 SSL 加密通讯的,默认情况下的SSL配置文件和代理配置文件导致 keystore 文件内容被用于防火墙识别。

工具的使用 | CobaltStrike证书修改躲避流量审查
工具的使用 | CobaltStrike证书修改躲避流量审查

✦Keytool

Keytool是一个java数据证书的管理工具,Keytool将密钥 和 证书 存放在一个称为 keystore 的文件中,即.store后缀的文件中。

工具的使用 | CobaltStrike证书修改躲避流量审查

查看证书文件:keytool -list -v -keystore xx.store修改证书密码:keytool -storepasswd -keystore test.store修改keystore的alias别名:keytool -changealias -keystore test.store -alias source_name -destalias new_name修改alias(别名)的密码:keytool -keypasswd -keystore test.store -alias source_name
工具的使用 | CobaltStrike证书修改躲避流量审查

✦keystore

Keystore是什么?keystore是java的密钥库,用来进行通信加密,如数字签名。keystore就是用来保存密钥对的,公钥和私钥。Keystore可理解为一个数据库,可以存放很多个组数据。

每组数据主要包含以下两种数据:

  • 密钥实体 --- 密钥(secret key)又或者私钥和配对公钥(采用非对称加密)

  • 可信任的证书实体 --- 只包含公钥

工具的使用 | CobaltStrike证书修改躲避流量审查

查看CobaltStrike的默认store文件

keytool -list -v -keystore cobaltstrike.store

可以看出CobaltStrike默认的store文件中的Alias name 、Onwer 和 Issuer 的信息,特征都比较明显。


工具的使用 | CobaltStrike证书修改躲避流量审查

工具的使用 | CobaltStrike证书修改躲避流量审查

✦创建新的CobaltStrike.store

而为了掩盖默认SSL证书存在的特征,需要重新创建一个新的不一样的证书 。使用以下命令创建证书:

keytool -keystore cobaltstrike.store -storepass 密码 -keypass 密码 -genkey -keyalg RSA -alias google.com -dname "CN=(名字与姓氏), OU=(组织单位名称), O=(组织名称), L=(城市或区域名称), ST=(州或省份名称), C=(单位的两字母国家代码)"
  • -alias 指定别名

  • -storepass pass 和 -keypass pass 指定密钥

  • -keyalg 指定算法

  • -dname 指定所有者信息

删除 CobaltStrike 自带的cobaltstrike.store,使用以下命令生成一个新的 cobaltstrike.store即可!然后客户端连接即可。

keytool -keystore cobaltstrike.store -storepass 123456 -keypass 123456 -genkey -keyalg RSA -alias baidu.com -dname "CN=(名字与姓氏), OU=(组织单位名称), O=(组织名称), L=(城市或区域名称), ST=(州或省份名称), C=(单位的两字母国家代码)" keytool -importkeystore -srckeystore cobaltstrike.store -destkeystore cobaltstrike.store -deststoretype pkcs12

工具的使用 | CobaltStrike证书修改躲避流量审查

注:我看很多其他文章还需要将cobaltstrike.store文件下载至客户端本地,然后保存为ssl.store 和 proxy.store两个文件。然后,将它们放入cobaltstrike.jar 中的 resources目录中。但是实际我在配置过程中,并不需要这些步骤。并且,在CobaltStrike3.14版本下,重新生成cobaltstrike.store后启动CobaltStrike会报错无法正常启动。本次环境在CobaltStrike4.0环境下配置成功。

参考文章:http://test666.me/archives/227/

工具的使用 | CobaltStrike证书修改躲避流量审查

责编:Vivian

来源:谢公子博客

工具的使用 | CobaltStrike证书修改躲避流量审查
如果文中有错误的地方,欢迎指出。有想转载的,可以留言我加白名单。
最后,欢迎加入谢公子的小黑屋(安全交流群)(QQ群:783820465)
工具的使用 | CobaltStrike证书修改躲避流量审查

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2020年8月18日14:34:14
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   工具的使用 | CobaltStrike证书修改躲避流量审查http://cn-sec.com/archives/85908.html

发表评论

匿名网友 填写信息