本篇文章為大家展示了如何進(jìn)行Cobalt Strike檢測(cè)方法與去特征的思考，內(nèi)容簡(jiǎn)明扼要并且容易理解，絕對(duì)能使你眼前一亮，通過這篇文章的詳細(xì)介紹希望你能有所收獲。

專注于為中小企業(yè)提供成都網(wǎng)站設(shè)計(jì)、網(wǎng)站制作服務(wù),電腦端+手機(jī)端+微信端的三站合一,更高效的管理,為中小企業(yè)沁縣免費(fèi)做網(wǎng)站提供優(yōu)質(zhì)的服務(wù)。我們立足成都，凝聚了一批互聯(lián)網(wǎng)行業(yè)人才，有力地推動(dòng)了上1000家企業(yè)的穩(wěn)健成長(zhǎng)，幫助中小企業(yè)通過網(wǎng)站建設(shè)實(shí)現(xiàn)規(guī)模擴(kuò)充和轉(zhuǎn)變。

人云亦云

關(guān)于檢測(cè)Cobalt Strike的方法有很多，而網(wǎng)上有一些文章會(huì)告訴大家如何修改所謂的特征值，但是這些方法實(shí)際上存在一定的誤導(dǎo)和盲區(qū)

一般發(fā)現(xiàn)Cobalt Strike服務(wù)器的途徑有以下幾種（簡(jiǎn)單分類，不準(zhǔn)確，勿噴）

樣本分析

中馬回連

黑客連主控端

掃描發(fā)現(xiàn)

這里被使用的比較多的就是掃描發(fā)現(xiàn)，同時(shí)網(wǎng)上一些文章提到Cobalt Strike默認(rèn)的SSL/TLS證書是固定的，所以一般都是使用這個(gè)證書作為特征值來(lái)發(fā)現(xiàn)Cobalt Strike服務(wù)器

所以，今天我們主要討論這個(gè)默認(rèn)SSL/TLS證書的問題

證書修改

現(xiàn)在讓我們提取這個(gè)證書的相關(guān)信息

根據(jù)網(wǎng)上一些文章的修改方法，我們需要使用keytool修改證書信息，方法如下

默認(rèn)的證書具有很明顯的特征，例如

O=cobaltstrike, OU=AdvancedPenTesting, CN=Major Cobalt Strike

我們拿這個(gè)信息去檢索就可以發(fā)現(xiàn)許多Cobalt Strike服務(wù)器

但是這里忽略了一個(gè)問題，你到底修改的是什么證書，是主機(jī)上線的時(shí)候使用的嗎？

這個(gè)證書是teamserver主控端使用的加密證書（默認(rèn)端口50050)

修改這個(gè)證書以后teamserver服務(wù)器主控端的特征是沒了

之前有一些人hunting C2服務(wù)器使用的就是這個(gè)規(guī)則

例如在fofa.so中，就有一條規(guī)則叫

protocol=="cobaltstrike"

當(dāng)然，我們也可以使用

cert="Major Cobalt Strike"

直接搜索

這里需要注意，使用

cert="Major Cobalt Strike"

搜索會(huì)發(fā)現(xiàn)有一些主機(jī)并沒有被標(biāo)注為Cobalt Strike服務(wù)器

（存在漏網(wǎng)之魚

當(dāng)然為了保證數(shù)據(jù)的時(shí)效性，我們?cè)趂ofa.so搜索的時(shí)候最好加上

after="2020-01-01"

重要的分割線?。。?！注意?。。?！

但是！https上線使用的證書，并不是上邊我們修改的那一個(gè)，并且這個(gè)證書也是默認(rèn)的...

證書信息如下圖：

如果想要修改這個(gè)證書，需要修改Malleable C2 profile

其中Self-signed Certificates with SSL Beacon和Valid SSL Certificates with SSL Beacon是用來(lái)修改https上線使用的證書的，Self-signed Certificates with SSL Beacon根據(jù)字母意思理解，就是自己設(shè)定的自簽名證書，還有如果使用了Valid SSL Certificates with SSL Beacon，我們?cè)谥巴ㄟ^keytool設(shè)置的證書也可以用的上，但是這里應(yīng)該讓我們使用的是真實(shí)的證書，不管是偷來(lái)的還是買來(lái)的，用就完了

Let's Hunt！

使用fofa.so搜索相關(guān)證書信息

cert="73:6B:5E:DB:CF:C9:19:1D:5B:D0:1F:8C:E3:AB:56:38:18:9F:02:4F" && after="2020-01-01"

使用censys.io搜索相關(guān)信息

443.https.tls.certificate.parsed.fingerprint_sha256:87f2085c32b6a2cc709b365f55873e207a9caa10bffecf2fd16d3cf9d94d390c

這里我們可以發(fā)現(xiàn)一些有趣的現(xiàn)象，例如有些服務(wù)器的50050端口也開了，teamserver主控端的證書確實(shí)也是修改了，這證明攻擊者還是會(huì)看一下文章學(xué)習(xí)如何去特征，但不幸的是只修改了一個(gè)

僅僅是掃描ip就能拿到所有證書嗎？不能，我們也需要掃描域名，還有就是https也不一定只開在443端口上

據(jù)我們了解，好多人搭建C2服務(wù)器的方法都比較原始，比如在某云搭建C2服務(wù)器，不會(huì)使用slb/elb轉(zhuǎn)發(fā)請(qǐng)求，不會(huì)使用security group控制訪問，不會(huì)使用一些高明的隱藏C2的方法。并且爛大街的Domain fronting、cdn上線、高信譽(yù)服務(wù)等等也不會(huì)使用，就是上線梭哈一把刷.....真的是給藍(lán)隊(duì)兄弟們一條生路

等等，到這就完了嗎？

檢測(cè)加密流量

如果這些信息都修改了我們?cè)撛趺崔k那？

實(shí)際上還是有方法去檢測(cè)的

我們可以參考https://github.com/salesforce/ja3這個(gè)項(xiàng)目

簡(jiǎn)單科普一下JA3

JA3方法用于收集Client Hello數(shù)據(jù)包中以下字段的十進(jìn)制字節(jié)值：版本、可接受的密碼、擴(kuò)展列表、橢圓曲線密碼和橢圓曲線密碼格式。然后，它將這些值串聯(lián)在一起，使用“,”來(lái)分隔各個(gè)字段，同時(shí)，使用“-”來(lái)分隔各個(gè)字段中的各個(gè)值。

這里相當(dāng)于把支持的TLS擴(kuò)展信息，都收集起來(lái)當(dāng)作一個(gè)特征值來(lái)用（除了客戶端發(fā)起的，還有關(guān)于服務(wù)器的JA3S）

這其實(shí)算一種降維打擊，并且我們發(fā)現(xiàn)主流在線沙箱、主流IDS大都支持了JA3/JA3S指紋檢測(cè)。

上述內(nèi)容就是如何進(jìn)行Cobalt Strike檢測(cè)方法與去特征的思考，你們學(xué)到知識(shí)或技能了嗎？如果還想學(xué)到更多技能或者豐富自己的知識(shí)儲(chǔ)備，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。

文章名稱：如何進(jìn)行CobaltStrike檢測(cè)方法與去特征的思考
網(wǎng)站網(wǎng)址：http://aaarwkj.com/article26/jjggjg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供營(yíng)銷型網(wǎng)站建設(shè)、關(guān)鍵詞優(yōu)化、軟件開發(fā)、、外貿(mào)網(wǎng)站建設(shè)、網(wǎng)站收錄

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)