CobaltStrike 特征提取

admin
admin
admin
138635
文章
114
评论
2022年7月12日08:09:58评论173 views字数 1578阅读5分15秒阅读模式
CobaltStrike 特征提取
上一节对使用默认配置文件的 cobaltstrike 交互过程进行了分析,流量中存在很多特征,但在实际攻防、测试中红队常使用 Malleable-C2-Profiles 来修改 c2 配置实现应用层流量混淆,从而绕过部分安全设备监控,这里就以 profile 为界限将特征划分为基础特征和强特征两个方向,即:
1、基础特征:使用默认配置时存在的特征,可通过修改 profile 文件或证书将其隐藏;
2、 强特征:需要修改 cobaltstrike 源码才能较好去除的这部分特征。

一、基础特征
(1)http 请求
http-beacon通信中,默认使用get方法向 /dpixel、/__utm.gif、/pixel.gif 等地址发起请求,同时请求头存在 cookie 字段并且值为 base64 编码后的非对算算法加密数据。
# default c2-http profile# define indicators for an HTTP GEThttp-get {    # Beacon will randomly choose from this pool of URIs    set uri "/ca /dpixel /__utm.gif /pixel.gif /g.pixel /dot.gif /updates.rss /fwlink /cm /cx /pixel /match /visit.js /load /push /ptj /j.ad /ga.js /en_US/all.js /activity /IE9CompatViewList.xml";

    client {        # base64 encode session metadata and store it in the Cookie header.        metadata {            base64;            header "Cookie";        }    }

    server {        # server should send output with no changes        header "Content-Type" "application/octet-stream";

        output {            print;        }    }}

CobaltStrike 特征提取


(2)https 证书
https-beacon 通信中,默认使用空证书建立加密通道,流量中可以看见这一过程。

CobaltStrike 特征提取


(3)dns 异常返回值
dns-beacon 通信中,默认使用 “cdn.”、“www6.”、“api.”、“www.”、“post.”  为开头发起 dns 请求,并且查询结果伴随 0.0.0.0、0.0.0.80、0.0.0.241 等非常规 IP 。

CobaltStrike 特征提取


二、强特征
(1)chechsum8
运行 staging 模式的pe文件,会向指定服务器的checksum8 路径发起请求来下载 stage 。

CobaltStrike 特征提取


即使通过 profile 文件改变下载地址,但c2服务器依然会对checksum8 地址请求作出响应。
# https://github.com/threatexpress/malleable-c2/blob/master/jquery-c2.4.6.profilehttp-stager {      set uri_x86 "/jquery-3.3.1.slim.min.js";    set uri_x64 "/jquery-3.3.2.slim.min.js";    ...}

CobaltStrike 特征提取


(2)ja3/ja3s
ja3 和 ja3s 分别代表 tls 握手阶段的 client-hello、server-hello 的数据集合计算出的哈希值(md5),相同版本相同系统下指纹相同,该特征与操作系统、cobaltstrike 版本有关,profile 文件无法对其修改。
# win10-https-beacon-ja3 指纹:72a589da586844d7f0818ce684948eea# centos-cs4.4-ja3s 指纹:fd4bc6cea4877646ccd62f0792ec0b62

CobaltStrike 特征提取

CobaltStrike 特征提取


三、小结

CobaltStrike 特征提取


该内容转载自网络,更多内容请点击“阅读原文”
CobaltStrike 特征提取

原文始发于微信公众号(web安全工具库):CobaltStrike -- 特征提取

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月12日08:09:58
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CobaltStrike 特征提取http://cn-sec.com/archives/1168224.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息