CobaltStrike去除流量特征基础版

普通CS没有做流量混淆会被防火墙拦住流量,所以偶尔会看到CS上线了机器但是进行任何操作都没有反应。这里尝试一下做流量混淆。参考网上的文章,大部分是两种方法,一种更改teamserver 里面与CS流量相关的内容,一种是利用Keytool工具生成新的store证书。而我们需要做的修改大概为3个地方,这应该是最基础的去流量特征。

证书修改

Keytool是一个java数据证书的管理工具,Keytool将密钥 和 证书 存放在一个称为 keystore 的文件中,即.store后缀的文件中。修改.store文件可以隐藏teamsrver的特征,避免被网络空间搜索引擎发现,同时需要修改默认端口。查看证书内容keytool -list -v -keystore cobaltstrike.store,可以看到很多特征信息。

image-20200821170818974

先删除store文件,按照如下代码修改证书信息

keytool -keystore cobaltstrike.store -storepass 123456 -keypass 123456 -genkey -keyalg RSA -alias baidu.com -dname "CN=CC, OU=HW, O=IBM, L=AD, ST=AC, C=AV"

复制

image-20200821171645900

生成证书文件

keytool -importkeystore -srckeystore cobaltstrike.store -destkeystore cobaltstrike.store -deststoretype pkcs12

复制

image-20200821171732016

修改端口 编辑teamserver文件,将端口从50050修改为50005

image-20200821172405018

修改默认端口

编辑teamserver文件,更改server port部分 50050,虽然意义不大,但还是最好改下

流量伪装

流量伪造主要使用Malleable-C2-Profiles脚本,github搜索即可。

先来看发现4.1的流量,wireshark使用ip.addr == vpsip and tcp.port == 81 and http命令抓包发现流量内通已经加密

image-20200817162149285

但依然可以post请求中可以发现cs的特征。

image-20200817181513752

使用Malleable-C2-Profiles来隐藏流量

使用方法:./teamserver [external IP] [password] [/path/to/my.profile]

image-20200817191014733

配置后需要重新生成shellcode,执行后发现post数据包为amazon内容。

image-20200817193936853

部分代码如下

image-20200817194151708

暂无评论

发送评论 编辑评论


				
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
上一篇
下一篇