C2建设 - 基于 Microsoft Graph API 的 Cobalt Strike HTTPS 信标

admin 2024年4月23日07:17:03评论20 views字数 854阅读2分50秒阅读模式

C2建设 - 基于 Microsoft Graph API 的 Cobalt Strike HTTPS 信标

        GraphStrike 是一套工具,使 Cobalt Strike 的 HTTPS Beacon 能够使用Microsoft Graph API进行 C2 通信。所有 Beacon 流量将通过攻击者的 SharePoint 站点中创建的两个文件进行传输,并且来自 Beacon 的所有通信都将路由到graph[.]microsoft[.]com

C2建设 - 基于 Microsoft Graph API 的 Cobalt Strike HTTPS 信标

        GraphStrike 包含一个配置程序,用于通过 Graph API 创建 Cobalt Strike HTTPS 所需的 Azure 资产

C2建设 - 基于 Microsoft Graph API 的 Cobalt Strike HTTPS 信标

        威胁行为者继续利用合法服务来实现非法目的。利用像 graph.microsoft.com 这样的高声誉域进行 C2 通信是非常有效和理想的,但从时间和精力的角度来看,通常很复杂且令人望而却步。大多数 C2 框架不支持获取或轮换访问令牌的方法,这使得它们无法使用 Graph API。这可能会使红队难以复制这些技术,并剥夺防守者观察和开发此类活动签名的机会。GraphStrike 致力于减轻这一负担,并提供可靠且可重复的流程来利用 Microsoft Graph API,同时保持 Cobalt Strike 用户体验的熟悉度和可靠性。

特征

GraphStrike 支持几乎所有正常的 Cobalt Strike 活动,包括:

  1. 通过 Cobalt Strike SOCKS 代理使用 Proxychains(尽管速度很慢......)
  2. 大文件上传/下载
  3. BOF、执行组装等

这还包括 GraphStrike 集成睡眠、退出和删除命令,以将 GraphStrike 服务器睡眠时间与 Beacon 相匹配,以及在退出或删除 Beacon 时删除 SharePoint 中的文件。

GraphStrike 另外还整合了原始 AceLdr 的所有特性和功能,以及一些额外的 API 来利用调用堆栈欺骗。

 

工具地址:

https://github.com/RedSiege/GraphStrike

 

 

 

原文始发于微信公众号(TtTeam):C2建设 - 基于 Microsoft Graph API 的 Cobalt Strike HTTPS 信标

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月23日07:17:03
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   C2建设 - 基于 Microsoft Graph API 的 Cobalt Strike HTTPS 信标https://cn-sec.com/archives/2682181.html

发表评论

匿名网友 填写信息