CobaltStrike去除流量特征基础版

发布于 2021-05-11  257 次阅读


普通CS没有做流量混淆会被防火墙拦住流量,所以偶尔会看到CS上线了机器但是进行任何操作都没有反应。这里尝试一下做流量混淆。参考网上的文章,大部分是两种方法,一种更改teamserver 里面与CS流量相关的内容,一种是利用Keytool工具生成新的store证书。而我们需要做的修改大概为3个地方,这应该是最基础的去流量特征。

证书修改

Keytool是一个java数据证书的管理工具,Keytool将密钥 和 证书 存放在一个称为 keystore 的文件中,即.store后缀的文件中。修改.store文件可以隐藏teamsrver的特征,避免被网络空间搜索引擎发现,同时需要修改默认端口。查看证书内容keytool -list -v -keystore cobaltstrike.store,可以看到很多特征信息。

image-20200821170818974

先删除store文件,按照如下代码修改证书信息

keytool -keystore cobaltstrike.store -storepass 123456 -keypass 123456 -genkey -keyalg RSA -alias baidu.com -dname "CN=CC, OU=HW, O=IBM, L=AD, ST=AC, C=AV"

复制

image-20200821171645900

生成证书文件

keytool -importkeystore -srckeystore cobaltstrike.store -destkeystore cobaltstrike.store -deststoretype pkcs12

复制

image-20200821171732016

修改端口 编辑teamserver文件,将端口从50050修改为50005

image-20200821172405018

修改默认端口

编辑teamserver文件,更改server port部分 50050,虽然意义不大,但还是最好改下

流量伪装

流量伪造主要使用Malleable-C2-Profiles脚本,github搜索即可。

先来看发现4.1的流量,wireshark使用ip.addr == vpsip and tcp.port == 81 and http命令抓包发现流量内通已经加密

image-20200817162149285

但依然可以post请求中可以发现cs的特征。

image-20200817181513752

使用Malleable-C2-Profiles来隐藏流量

使用方法:./teamserver [external IP] [password] [/path/to/my.profile]

image-20200817191014733

配置后需要重新生成shellcode,执行后发现post数据包为amazon内容。

image-20200817193936853

部分代码如下

image-20200817194151708


一沙一世界,一花一天堂。君掌盛无边,刹那成永恒。