GraphStrike 是一套工具，使 Cobalt Strike 的 HTTPS Beacon 能够使用Microsoft Graph API进行 C2 通信。所有 Beacon 流量将通过攻击者的 SharePoint 站点中创建的两个文件进行传输，并且来自 Beacon 的所有通信都将路由到graph[.]microsoft[.]com

        GraphStrike 包含一个配置程序，用于通过 Graph API 创建 Cobalt Strike HTTPS 所需的 Azure 资产

        威胁行为者继续利用合法服务来实现非法目的。利用像 graph.microsoft.com 这样的高声誉域进行 C2 通信是非常有效和理想的，但从时间和精力的角度来看，通常很复杂且令人望而却步。大多数 C2 框架不支持获取或轮换访问令牌的方法，这使得它们无法使用 Graph API。这可能会使红队难以复制这些技术，并剥夺防守者观察和开发此类活动签名的机会。GraphStrike 致力于减轻这一负担，并提供可靠且可重复的流程来利用 Microsoft Graph API，同时保持 Cobalt Strike 用户体验的熟悉度和可靠性。

特征

GraphStrike 支持几乎所有正常的 Cobalt Strike 活动，包括：

1. 通过 Cobalt Strike SOCKS 代理使用 Proxychains（尽管速度很慢......）
2. 大文件上传/下载
3. BOF、执行组装等

这还包括 GraphStrike 集成睡眠、退出和删除命令，以将 GraphStrike 服务器睡眠时间与 Beacon 相匹配，以及在退出或删除 Beacon 时删除 SharePoint 中的文件。

GraphStrike 另外还整合了原始 AceLdr 的所有特性和功能，以及一些额外的 API 来利用调用堆栈欺骗。

工具地址：

https://github.com/RedSiege/GraphStrike

原文始发于微信公众号（TtTeam）：C2建设 - 基于 Microsoft Graph API 的 Cobalt Strike HTTPS 信标