2021HW平安夜 ｜ 04/11-势如破竹

“满当当的昨天，
富意义的今天～”

今日主题：01 HW日记、02 Fofa搜索Cobalt Strike的小技巧

01 HW日记

今天的告警有点多，不仅自己值守的单位，其他伙伴值守的单位也是全天的应急

今天攻击队伍似乎一直在发力不过今天也传来了很多的捷报，比如防守队伍溯源到了攻击者，一时压力好大，要抓紧溯源呀～

作为对手我不希望你们拿分数，但是作为一个网安人，我希望攻击队伍有个好成绩，同时也矛盾的希望防守方有个好成绩，总之，对抗的最后是网络技术的升级。

有没有发现今年国外的ip特别多，特别特别多。今天分析了一些ip，发现大多为红队的肉鸡或者钓鱼🎣。攻击队伍的ip竟然都开放了80端口、21端口、22端口、3306端口等等。。。更奇怪的是21端口还有匿名访问，你说奇怪不奇怪呢红队的蜜罐今年竟然比蓝队对

“生活不会因为进入了黑夜而停止 凌晨一点也有灯光闪闪发亮 意思是你不动 生活会推着你走 每个人都很累 但每个人都在自己的世界里好好努力 无论你当前在坚持什么 请别轻易放弃”

送给每一个还在苦苦坚持的网安人儿～愿今年hw，各位收获满满～

以下hw日记来源于网络：

2021年4月10日 周六 阴

早晨只是在朋友圈发了一句"你可以试探"，结果，中午遭遇两个0day攻击，一上来就是核武器。业务系统临时下线处理还被攻击队频繁举报非法防守，我晓得，他瞄上我了！

暮色来袭，坚守了30小时，拖着疲惫的身躯回家，迷迷糊糊中，走进一个梦境。愿梦里没有攻击！

2021年4月10日 星期六 晴

今天邮件网关截获到一个HR发送过来的宏病毒Word文档，客户让我火速分析。心头一紧，我啷个会分析这个，我只是一个混吃等死的废物罢了，抱着忐忑的心把文件丢到虚拟机里，刚丢进去火绒就告警了宏病毒，客户说你把宏代码截取出来看看它的行为，我的WPS不支持宏，我沉默了，也许在这一刻，我的临时工身份已经彻底暴露，客户的脸色不是很好，今天中午的饭到现在也没送来，可能我已经不配吃他们的午饭了。生而为人，我很抱歉。

今日情报：来源于毕方安全实验室

基于昨天12点左右爬取的数据，对比出的截至今天20点30新增的一些teamserver ip：

159.75.111.152
157.119.95.52
47.100.139.53
47.118.34.205
39.106.204.11
82.156.102.252
103.66.57.92
103.147.12.11
168.206.191.199
121.36.209.113
180.215.195.245
199.19.224.92
5.8.18.112
168.206.184.195
168.206.191.200
8.136.119.24
121.41.203.12
204.44.76.161
81.70.28.20
154.92.16.126
155.94.133.15
120.77.61.136
168.206.184.200
168.206.186.196
103.117.100.39
116.255.155.106
175.10.35.23
124.70.1.140
47.243.25.215
45.227.255.35
203.195.131.193
47.100.46.18
175.10.34.118
168.206.187.218
185.161.209.42
8.210.38.183
176.121.14.113
103.215.213.164
101.32.190.174
139.129.117.127
8.129.83.140
101.132.158.142
168.206.184.199
150.109.119.164
101.133.222.113
216.83.53.241
193.29.59.180
43.129.22.154
202.182.115.85
193.239.84.254
47.105.72.148
207.148.87.217
82.194.164.54
159.75.228.99
139.196.153.6

02 Fofa搜索Cobalt Strike的小技巧

语法1:

header="HTTP/1.1 404 Not Found Content-Type: text/plain Date:"||

protocol="cobaltstrike"||cert="Serial Number: 146473198"

cobalt strike 是C/S架构的商业渗透软件，适合多人进行团队协作，可模拟APT做模拟对抗，进行内网渗透，是当前比较热门的一款C2软件，无论是红蓝对抗(HW)，还是应急响应中，快速识别C2服务器是重要的工作之一，红队可以提前抹去特征，蓝队可以将此类服务器的IP作为IOC，并加入黑名单大礼包。

这里主要介绍以下三个特征：第一个利用的是Cobalt Strike 3.13之前版本默认的空格后门特征，第二个是fofa自带的协议识别（推测是teamserver默认证书关键字），第三个是利用cobalt strike的web的默认证书特征 最近爆出的另外一个特征，如何确认web是否为Cobalt Strike，可以请求/manager/text/list/这个路径，如果可以下载到x86的payload，就是Cobalt Strike的服务器。

链接:https://nosec.org/home/detail/4322.html

语法2:

试了一下，效果可以

(app="COBALTSTRIKE-团队服务器" || app="COBALTSTRIKE-beacon") 

&& is_honeypot="false"

推荐：

1.关于Cobalt Strike检测方法与去特征的思考

https://nosec.org/home/detail/4529.html

2.CobaltStrike去除流量特征

https://www.cnblogs.com/Zh1z3ven/p/14518441.html

本文始发于微信公众号（LemonSec）：2021HW平安夜 ｜ 04/11-势如破竹