继 CobaltStrike 封禁事件-解决办法

• 本篇文章需结合前文情况后再进行观看~
• 如需下载工具，可在公众号回复“工具分享”获取所有工具。
• 后续分享的工具都将放在这个分享链接中，保存标签一次，后续都能找到~
  

前情提要

‍

本间白猫，公众号：樱花庄的本间白猫关于 CobaltStrike 重大事件

• 碎碎念

在发布前文后得到了很多师傅的反馈，也引起了师傅们的共鸣，被封禁的VPS数量非常多，并且最远的一起，已经追溯到了23年4月份，也就是微软发布通告的那个月。但是还是比较少的，目前主要反馈的都是23年底-24年初这段时间出现频繁封禁的情况。

• 解决方案

1、对所有特征进行去除，重点要将 checksum8 特征去除，目前有猜测是这个特征导致的。

2、增加访问安全策略，对 CobaltStrike 开放端口、CobaltStrike 生成木马的监听端口进行限制，避免被扫描到存在 CobaltStrike 服务端。

3、采用反向代理的方式，对外出口是frp、nginx等中间件反代工具，让 CobaltStrike 服务端处于受限状态，也能一定程度避免封禁。

目前收集了一些二开版 CobaltStrike，做了一小段时间的测试，目前未发现封禁。

工具获取方式：

• 在公众号聊天框输入 “工具分享” 获取
• 在公众号菜单中选择 网安工具---工具分享 获取

• 接续前文

前文中提到做了一些去特征、上CDN等方式也会被封禁，但是存在部分特征未完全去除的情况，例如 checksum8 未去除。一位师傅表示，可能是基于 checksum8 这个特征识别的，因此测试了来自渊龙安全团队的luckone师傅所提供的CS4.5二开版。

luckone，公众号：SafetyTeamCobaltStrike4.5 修改主题版本

经过几天的测试，目前并未出现被封禁的情况，如果有需要使用CS的师傅们，可以考虑自行去除相关特征，或直接使用二开好的版本。（当然也存在被封禁的可能性，如果有重要内容请酌情考虑使用CS，可以先采用其他C2平台并做好去除默认特征）

• 最后一说

目前来看，主要还是针对偷懒使用默认配置 CobaltStrike 的用户，如果对 CobaltStrike 服务端的保护工作做的到位，应该能降低被举报的风险，同时也能促进行业内对 CobaltStrike 服务端的隐藏性发展，让更多的师傅投入到 CobaltStrike 的免杀、免检测、二开的工作当中，也为算是促进了一波技术的发展吧。

原文始发于微信公众号（樱花庄的本间白猫）：继 CobaltStrike 封禁事件-解决办法