出品|MS08067實驗室(www.ms08067.com)
本文作者:BlackCat(Ms08067實驗室內網小組成員)
前言:
紅藍對抗的時候,如果未修改CS特征、容易被藍隊溯源,
去特征的幾種方法:
1、更改默認埠
方法一、直接編輯teamserver進行啟動項修改,
vi teamserver
方法二、啟動時候指定server_port
java -XX:ParallelGCThreads=4 -Duser.language=en -Dcobaltstrike.server_port=50505 -Djavax.net.ssl.keyStore=./cobaltstrike.store -Djavax.net.ssl.keyStorePassword=123456 -server -XX:+AggressiveHeap -XX:+UseParallelGC -Xmx1024m -classpath ./cobaltstrike.jar server.TeamServer xxx.xxx.xx.xx test google.profile
2、去除證書特征
(1)、進入CS目錄
查看keytool -list -v -keystore cobaltstrike.store 證書情況,輸入默認密碼123456回車,可以看到所有者、發布者中Cobalt Strike相關字樣,
然后修改 keytool
keytool是一個Java 資料證書的管理工具,使用如下:
- -keytool -keystore cobaltstrike.store -storepass 密碼
- -keypass 密碼
- -genkey -keyalg RSA
- -alias google.com -dname "CN=(名字與姓氏),
- OU=(組織單位名稱), O=(組織名稱),
- L=(城市或區域名稱),
- ST=(州或省份名稱),
- C=(單位的兩字母國家代碼),
keytool -keystore cobaltstrike.store -storepass 123456 -keypass 123456 -genkey -keyalg RSA -alias taobao.com -dname "CN=US, OU=”taobao.com“, O=“Sofatest”, L=Beijing, ST=Cyberspace, C=CN"
然后 在觀測keytool,
這時發現所以關于cobaltstrike的字眼都被替換掉了,
3、繞過流量審計
(1)高信譽服務偽造
傳輸程序中,把流量偽造成高信譽的網站,比如Google 、bing等 ,
現在的大多數硬體WAF防護設備都能檢測出來Cs的流量特征,所以我們必須要修改CS的流量特征,CS的流量由malleable C2配置來掌控的,所以我們需要定向去配置這個C2,
Malleable C2 是一種特定領域的語言,主要用來控制“Cobalt Strike Beacon”攻擊載荷中的網路指標,
malleable C2詳細知識參考:
https://bluescreenofjeff.com/2017-01-24-how-to-write-malleable-c2-profiles-for-cobalt-strike/
去配置之前先了解下有關Beacon的通信基礎:
從Cobalt Strike 3.6版開始,可以將HTTP動詞從POST更改為GET,Beacon忽略了此POST請求(組態檔中的http-post服務器)的回應,默認情況下,Beacon將HTTP POST請求用于上述步驟#3和#4,根據您的目標環境或您正在模擬的流量,可能會注意到交替的GET和POST請求,在這種情況下,請將http-post部分的動詞設定為GET,
Beacon與teamserver端c2的通信邏輯:
1.stager的beacon會先下載完整的payload執行
2.beacon進入睡眠狀態,結束睡眠狀態后用 http-get方式 發送一個metadata(具體發送細節可以在malleable_profie檔案里的http-get模塊進行自定義),metadata內容大概是目標系統的版本,當前用戶等資訊給teamserver端 ,如圖的 1)
3.如果存在待執行的任務,則teamserver上的c2會回應這個metadata發布命令,beacon將會收到具體會話內容與一個任務id,
4.執行完畢后beacon將回顯資料與任務id用post方式發送回team server端的C2(細節可以在malleable_profile檔案中的http-post部分進行自定義),然后又會回到睡眠狀態,
參考資料:https://www.chabug.org/web/832.html
許多 Beacon 指標由一個 C2 拓展檔案控制,一個 C2 拓展檔案由設定和資料轉換組成,資料轉換是一 個簡單的程式,它指定如何轉換資料并將其存盤在事務中,轉換和存盤資料的同一程式,向后解釋,還 從事務中提取和恢復資料,
組態檔語言:
創建組態檔的最佳方法是修改現有的組態檔,
Malleable組態檔下載:
git clone https://github.com/rsmudge/Malleable-C2-Profiles.git
CS中集成了一個包含在Linux平臺下的C2lint工具,下面是檢測這段代碼是否存在問題:
CD CobaltStrike
chmod 777 c2lint
./c2lint [/path/to/my.profile] #這個路徑是Malleable的組態檔路徑
./c2lint /Users/blackcat/Desktop/資源/CS學習/Malleable-C2-Profiles/APT/havex.profile
綠色為運行成功,黃色的為警告,紅色的error為運行失敗,
這里是運行成功;
然后我們要修改里面的引數 思路就是,默認值堅決不使用,具體如下:
set sample_name "AL"; #組態檔名稱:
set sleeptime "50000"; #設定sleep時間,單位是毫秒
set useragent "Mozilla/5.0 (Windows; U; MSIE 7.0; Windows NT 5.2) Java/1.5.0_08"; #這個一般結合實戰環境去配置,從目標機構中捕獲一個真實的user-agent值并且插入到真實的流量中,
例如,可以向目標機構成員發送一封帶有web漏洞的電子郵件并監視后續GET請求中發送的user-agent值,如果你使用的是明文的HTTP流量或者是目標環境中存在SSL攔截,那么與環境不匹配的User-Agent值就會被防御者發現,
再往下的代碼是http部分,
這里分塊來說明下,
http-get模塊:
如上圖所示,設定了victim的beacon發送給c2的metadata的相關配置,
1.在client部分中,先設定了多個http header頭,然后在uri中存盤一個引數,把Referer偽造成Google
2.然后又設定了在metadata資料在傳輸的時候,先base64加密然后將所有的值填寫在Cookie欄位中,
3.在server部分,先設定多個header頭,然后更改相應內容然后base64編碼,然后把資料放在在body里,
http-post模塊:
先說下Clinet模塊:
這里面的id代表的是task id,任務執行后,beacon需要利用post方式來與c2進行通信,需要傳送一個唯一的task id值,還需要傳送回顯,例如ipconfig命令,就會傳送命令的結果等,上面的header頭就跟之前的header頭的用途一致,
client中的output代表的是客戶端發送給服務端的回應用什么形式發送,
server部分跟client比較類似所以不做太多講述,
此處可以通過定制C2的配置,使得C2的流量混合在目標環境流量中,偽裝為正常應用流量,達到欺騙的作用,
我這里偽造的是Google的流量,
然后運行這個C2組態檔:
服務端:
sudo ./teamserver 192.168.1.55 Malleable-C2-Profiles/APT/havex.profile
客戶端:
./start.sh
然后連接后,點擊 Cobalt Strike -- Listeners創建一個監聽模塊,然后通過這個監聽模塊創建一個后門檔案 ,然后去上線一臺機器,
我這里靶機地址:192.168.93.128
然后點擊 Attacks-- packages -- Windows Executable
生成一個 Windows后門可執行檔案EXE,
然后把這個后門放到靶機里使其上線,
然后;
打開 wireshark,然后開啟抓包
這里要做下篩選:
http and tcp.port == 80 #我這里CS監聽埠是80 可以根據自己需求定制
然后 進入到被控機的beacon模式下,
執行命令 shell dir
然后發現已經抓取到包,查看下包的內容,
右鍵選定 --- follow --- TCP Tream
此時發現Referer為Google 證明實驗成功,成功偽造流量,
下面的是基于JQuery的組態檔作為基礎配
下載:
git clone https://github.com/threatexpress/malleable-c2.git
然后運行語法:
./c2lint [/path/to/my.profile] #這個路徑是Malleable的組態檔路徑
我這里用的是CS4.0,所以選用這個profile
然后組態檔資訊
參考前面的組態檔名稱,sleep時間、用戶代理,同上 user-agent還是使用目標機的真實的user-agent值,
SSL證書設定 :
此設定控制用于HTTPS通信的SSL證書,如果可能的話,請為你正在使用的域使用真實的,正確發布的SSL證書,LetsEncrypt可以發布所有主要作業系統和瀏覽器都信任的免費SSL證書,并且會讓防御者更難以檢查Beacon流量,
SpawnTo 程序 :
spawnto設定控制beacon生成的行程以便后滲透利用作業,以及何時使用spawn命令,該命令也可以使用命令列引數,
set %windir%\sysnative\svchost.exe -k localservice -p -s fdPHost
svchost.exe是微軟Windows作業系統中的系統檔案,微軟官方對它的解釋是:svchost.exe 是從元件 (DLL) 中運行的服務的通用主機行程名稱,這個程式對系統的正常運行是非常重要,而且是不能被結束的,許多服務通過注入到該程式中啟動,所以會有多個該檔案的行程,
如果防御者查看正在運行行程的命令列,額外的引數可以幫助Beacon進一步混淆,但是很難找到與spawnto一起使用的最合適的選項,選擇前要進行實驗和測驗,
SMB 信標:
SMB 信標使用命名管道通過父信標進行通信,這允許在同一主機或網路上的信標之間進行點對點通信,可以配置SMB 信標的管道名稱,不要使用默認設定,因為一些防御性產品會查找這些默認設定,選擇能夠混合到目標環境的內容,
關于SMB信標的更多能容,請訪問:
https://www.cobaltstrike.com/help-smb-beacon
DNS信標
DNS信標使用DNS進行全部或部分通信,根據目標環境的防御技術,DNS流量很容易就能被檢測到,但通常是防御者的盲點,DNS最適合用作低速和慢速備份通道,更改默認設定以更好地適應你遇到的環境,
有關DNS信標的更多資訊,請訪問如下鏈接:
https://www.cobaltstrike.com/help-dns-beacon
分段程序(staging process)
可以自定義信標分段程序,分段程序是用于完全加載信標的代碼存根,
了解有關Beacon分段程序的更多資訊,請閱讀這篇文章:
https://blog.cobaltstrike.com/2013/06/28/staged-payloads-what-pen-testers-should-know/
幸運的是,可以修改Beacon stager的HTTP特性,更改這些設定以模仿單個合法的HTTP請求/回應,
在此示例中,請求將發送到
/jquery-3.3.1.slim.min.js
或/jquery-3.3.2.slim.min.js
(取決于目標行程體系結構),以開始分段程序,構建HTTP服務器引數以模仿jQuery請求,Beacon命令和payload被混合到jQuery javascript文本塊中,從CDN請求jQuery時,客戶端發出一個合理的請求,
很多網站發出請求的實作方式如下:
在某些情況下,使用stageless payload可能更好,因為分段程序可能會觸發防御產品的報警,
記憶體指示器
一些最新的Malleable C2功能可以修改許多Beacon記憶體指示器,
有關控制Beacon記憶體指示器的詳細資訊,請參閱下面鏈接:
https://blog.cobaltstrike.com/2018/02/08/in-memory-evasion
https://www.youtube.com/playlist?list=PL9HO6M_MU2nc5Q31qd2CwpZ8J4KFMhgnK
此示例使用peclone工具從explorer.exe中提取記憶體元資料,另存為Beaconpayload的一部分,并且采用了Raphael發布的一篇博客“In-Memory Evasion”中的一些建議,
http-get&http-post
http-get 和 http-post 修改格式和上面基本類似
這里 都是偽造成 jquery.com的流量,
測驗驗證:
./c2lint c2lint jquery-c2.3.11.profile
Manual Testing(手工測驗)
除了使用c2lint進行測驗外,還要在測驗系統上手動測驗Beacon的所有功能,
手動測驗和驗證的快速步驟
- 啟動wireshark
- 使用測驗組態檔啟動teamserver
sudo ./teamserver 192.168.1.10 zaq123 jquery-c2.4.0profile
- 創建HTTP監聽器(名為http)
- 創建一個Scripted Web Delivery攻擊來部署HTTP信標
- Attacks - > Web Drive-by - >Scripted Web Delivery
- 在Windows測驗系統上以管理員身份運行PowerShell
- 查看資料包捕獲資料以確保http流量符合你的預期
這里檢測沒問題 流量特征都已經被修改,
還有一種 CDN偽造技術 詳細參考
https://paper.seebug.org/1349/#3cobalt-strike-dns_idle
參考:
CobalStrike 繞過流量審計:https://paper.seebug.org/1349/
CobaltStrike」應用攻擊手段實體分析:https://zhuanlan.zhihu.com/p/145505228
cobalt strike malleable C2組態檔撰寫:https://blog.csdn.net/kongbaijun2000/article/details/109604547
深入研究cobalt strike malleable C2組態檔:https://xz.aliyun.com/t/2796
How to Write Malleable C2 Profiles for Cobalt Strike:https://bluescreenofjeff.com/2017-01-24-how-to-write-malleable-c2-profiles-for-cobalt-strike/
CobaltStrike之Malleable-C2-Profiles配置:https://www.zzhsec.com/544.html
轉載請聯系作者并注明出處!
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/255847.html
標籤:其他
上一篇:ESP-01