关于 Cobalt Strike v4.9 泄露的消息于 2023 年 10 月 09 日爆发,似乎有两个版本,一个似乎是由“pwn3rzs”作者公开的。
我们掌握了“pwn3rzs”漏洞并开始尝试并寻找指标。我们注意到它包含一个执行少量检查并应用一些配置的脚本。然后,它继续运行 CS Team Server。引入的配置包含一些更改,但引起我们注意的是生成 SSL/TLS 证书。该证书稍后由“团队服务器”使用。
仔细查看传递给命令的参数keytool,我们注意到多个指标,我们可以利用这些指标来构建检测规则,以识别威胁参与者所使用的基础设施,该威胁参与者决定利用此泄露的 CS 版本,而无需对配置进行任何更改(特别是 SSL/TLS 证书参数)
我们提取的指标如下:
-
“团队服务器”将在端口运行50050
-
该端口上的服务将使用生成的 SSL/TLS 证书,其值如下:
我们尝试在野外测试我们的检测规则,并且已经获得了多次命中:
寻找指标
我们决定从已识别的证书转移到相应的主机,并找到了两个服务器:
主机1
主机2
我们手动验证了所提供的 SSL/TLS 证书,并且可以确认它与从野外中收集的指标相匹配。
谨慎使用4.9传播的版本!
感谢您抽出
.
.
来阅读本文
点它,分享点赞在看都在这里
原文始发于微信公众号(Ots安全):寻找野外的 Cobalt Strike v4.9 服务器
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论