-
本篇文章需结合前文情况后再进行观看~ -
如需下载工具,可在公众号回复“工具分享”获取所有工具。 -
后续分享的工具都将放在这个分享链接中,保存标签一次,后续都能找到~
前情提要
本间白猫,公众号:樱花庄的本间白猫关于 CobaltStrike 重大事件
-
碎碎念
在发布前文后得到了很多师傅的反馈,也引起了师傅们的共鸣,被封禁的VPS数量非常多,并且最远的一起,已经追溯到了23年4月份,也就是微软发布通告的那个月。但是还是比较少的,目前主要反馈的都是23年底-24年初这段时间出现频繁封禁的情况。
-
解决方案
1、对所有特征进行去除,重点要将 checksum8 特征去除,目前有猜测是这个特征导致的。
2、增加访问安全策略,对 CobaltStrike 开放端口、CobaltStrike 生成木马的监听端口进行限制,避免被扫描到存在 CobaltStrike 服务端。
3、采用反向代理的方式,对外出口是frp、nginx等中间件反代工具,让 CobaltStrike 服务端处于受限状态,也能一定程度避免封禁。
目前收集了一些二开版 CobaltStrike,做了一小段时间的测试,目前未发现封禁。
工具获取方式:
-
在公众号聊天框输入 “工具分享” 获取 -
在公众号菜单中选择 网安工具---工具分享 获取
-
接续前文
luckone,公众号:SafetyTeamCobaltStrike4.5 修改主题版本
-
最后一说
原文始发于微信公众号(樱花庄的本间白猫):继 CobaltStrike 封禁事件-解决办法
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论