CobalStrike(CS)上线隐藏IP和流量

本文内容涉及技术原理仅用于安全研究和教学使用，务必在模拟环境下进行实验，请勿将其用于其他用途。 因此造成的后果自行承担，与作者无关
隐藏IP地址
CDN接入(方法一)
隧道转发代理(方法二)
转发重定向(方法三)
隐藏CS流量
修改CDN配置

 

 

 

测试上线

因此造成的后果自行承担，与作者无关)
隐藏IP地址
CDN接入(方法一)
使用CDN内容分发网络的多节点分布式技术，通过“加速、代理、缓存”隐藏在后面的静态文件或服务；
最终实现对外暴露的是CDN多节点的公网域名IP，很难甚至无法溯源真实后端服务器的域名或IP！
目标上线后流量走向

开启一个listener
NAME:随便填写
Payload：选择Beacon http
HTTP hosts：写入自己的域名
HTTP host(Stager):写入自己的域名
HTTP Port（C2）：写入8880端口，可以访问到的都可以。
HTTP header：写入自己的域名

?

1 2 3 4 5 6

NAME:随便填写 Payload：选择Beacon http HTTP hosts：写入自己的域名 HTTP host(Stager):写入自己的域名 HTTP Port（C2）：写入8880端口，可以访问到的都可以。 HTTP header：写入自己的域名

　　

 

 

生成windows无阶段木马。

 

 

选择刚刚创建的监听器，勾选USE 64。

 

 

双击生成的木马文件Beacon.exe。

 

 

目标上线CS。

 

 

 

使用wireshark进行流量分析，可以看到IP不是之前的vps-ip，端口指向为8880。

观察流量信息会发现全程和CDN在做通信