程序员经验分享-hwhale

cobaltstrike流量特征

2023-11-09

cobaltstrike流量特征

​cobaltstrike是红队攻防中常用的工具,用以连接目标和cobaltstrike服务器,方便红队进一步对目标渗透,在双方通信过程中cobaltstrike流量具有很明显的特征

1、http 请求

​ http-beacon通信中,默认使用get方法向 /dpixel、/__utm.gif、/pixel.gif 、/load等地址发起请求,同时请求头存在 cookie 字段并且值为 base64 编码后的非对算算法加密数据。

# default c2-http profile# define indicators for an HTTP GEThttp-get {    # Beacon will randomly choose from this pool of URIs
    set uri "/ca /dpixel /__utm.gif /pixel.gif /g.pixel /dot.gif /updates.rss /fwlink /cm /cx /pixel /match /visit.js /load /push /ptj /j.ad /ga.js /en_US/all.js /activity /IE9CompatViewList.xml";


    client {        # base64 encode session metadata and store it in the Cookie header.
        metadata {            base64;
            header "Cookie";
        }
    }


    server {        # server should send output with no changes
        header "Content-Type" "application/octet-stream";


        output {            print;
        }
    }
}

在这里插入图片描述

2、https 证书

https-beacon 通信中,默认使用空证书建立加密通道,流量中可以看见这一过程。

在这里插入图片描述

3、dns 异常返回值

​ dns-beacon 通信中,默认使用 “cdn.”、“www6.”、“api.”、“www.”、“post.” 为开头发起 dns 请求,并且查询结果伴随 0.0.0.0、0.0.0.80、0.0.0.241 等非常规 IP 。

在这里插入图片描述

4、chechsum8

运行 staging 模式的pe文件,会向指定服务器的checksum8 路径发起请求来下载 stage 。

在这里插入图片描述

即使通过 profile 文件改变下载地址,但c2服务器依然会对checksum8 地址请求作出响应。

在这里插入图片描述
在这里插入图片描述

5、ja3/ja3s

ja3 和 ja3s 分别代表 tls 握手阶段的 client-hello、server-hello 的数据集合计算出的哈希值(md5),相同版本相同系统下指纹相同,该特征与操作系统、cobaltstrike 版本有关,profile 文件无法对其修改。

示例:
# win10-https-beacon-ja3 指纹:72a589da586844d7f0818ce684948eea
# centos-cs4.4-ja3s 指纹:fd4bc6cea4877646ccd62f0792ec0b62

在这里插入图片描述
在这里插入图片描述

6、小结

在这里插入图片描述
伪造证书和修改C2的profile文件可以解决大部分特征,还可以使用域前置来进一步隐蔽。

参考:https://mp.weixin.qq.com/s/tI7fp4DJjjSCnog-YSQXqg

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

学习笔记

网络安全

安全攻防

流量特征

​cobaltstrike

cobaltstrike流量特征 的相关文章

  • stm32cubemx生成不了keil工程文件_STM32cubeMX教程定时器实现定时1秒LED闪烁

    软件 STM32CubeMX V4 25 0 keil u5 固件库版本 STM32Cube FW F1 V1 6 1 硬件 OneNet 麒麟座V1 4 在STM32CubeMX中新建项目 选择正确的MCU型号 首先设置RCC和SYS 如

  • 若依图片文件上传

    1 前端代码 使用若依自带的

  • Grafana ALert功能使用webhook,并预警数据信息

    使用webhook预警的时候如果能够同时获取预警的数据信息是最好不过的 这里我们就来看下怎么获取这些东西 数据源依然选用InfluxDB 具体配置过程可以参考前边两篇文章 现在从webhook配置开始 无参对接 在Grafana的Alert

  • LeetCode108.将有序数组转换为二叉搜索树

    题目来源 108 将有序数组转换为二叉搜索树 力扣 LeetCode 二叉搜索树定义 二叉搜索树 Binary Search Tree 又 二叉查找树 二叉排序树 它或者是一棵空树 或者是具有下列性质的 二叉树 若它的左子树不空 则左子树上

  • 2023华为OD机试真题【处理器问题/深度优先搜索】

    题目描述 某公司研发了一款高性能AI处理器 每台物理设备具备8颗AI处理器 编号分别为0 1 2 3 4 5 6 7 编号0 3的处理器处于同一个链路中 编号4 7的处理器处于另外一个链路中 不同链路中的处理器不能通信 现给定服务器可用的处

  • mysql 读写分离

    读写分离引入时机 大多数互联网业务中 往往读多写少 这时候数据库的读会首先成为数据库的瓶颈 如果我们已经优化了SQL 但是读依旧还是瓶颈时 这时就可以选择 读写分离 架构了 读写分离首先需要将数据库分为主从库 一个主库用于写数据 多个从库完

  • C/C++中浮点数的存储方式

    原文地址 C C 中浮点数的存储方式 作者 andyhzw 根据国际标准IEEE 754 任意一个二进制浮点数V可以表示成下面的形式 V 1 s M 2 E 1 1 s表示符号位 当s 0 V为正数 当s 1 V为负数 2 M表示有效数字

  • 使用umi3和antd pro5从零实现全栈中后台管理系统

    0 前言 使用umi3和antd pro5从零实现全栈中后台管理系统 0 1 涉及技术栈 前端 TS React React Hooks umi3 antd pro5 后端 express mongodb jwt 0 2 实现的功能 后端用

随机推荐

  • STM32CUBEMX F103 HAL库开发 两路定时器的Encoder编码器模式

    机器人开发过程中 对于直流电机来说 编码器至关重要 它不仅可以使我们对电极进行精确的速度闭环 位置闭环 还可以通过时间积分 根据运动学关系 获得速度 位置等信息 STM32的定时器有编码器模式 大大的方便我们的开发 使用STM32cubeM

  • 刨根问底:C++中浮点型变量(float, double)的比较问题。

    首先 让我们先来看一段代码 include

  • CVE-2022-25845 反序列化漏洞分析

    测试环境 jdk1 8 fastjson 1 2 80 win10 实验POC public class Poc extends Exception public void setName String str try Runtime ge

  • python __next__()方法_Python迭代器的用法,next()方法的调用

    迭代器的用法 首先说两个概念 一个是可迭代的对象 一个是迭代器对象 两个不同 可迭代的 Iterable 就是可以for循环取数据的 比如字典 列表 元组 字符串等 不可使用next 方法 迭代器 Iterator 也是可以依次迭代取出数据

  • msrcr图像增强算法 matlab,图像处理之Retinex增强算法(SSR、MSR、MSRCR)

    视网膜 大脑皮层 Retinex 理论认为世界是无色的 人眼看到的世界是光与物质相互作用的结果 也就是说 映射到人眼中的图像和光的长波 R 中波 G 短波 B 以及物体的反射性质有关 其中I是人眼中看到的图像 R是物体的反射分量 L是环境光

  • BugkuCTF-MISC题粗心的佳佳

    下载得到3个文件 预期解法应该是根据图片写出脚本 把混淆过的二维码恢复 我发现照着password png也能看出原本的二维码大概长啥样 手动修复得到一张二维码 扫码得到IXE1VDYmMjk base64解码得到压缩包密码 q5T6 29

  • GUI Guider设计UI界面移植到STM32

    GUI Guider设计UI界面移植到STM32 一 什么是GUI Guider 什么是 GUI Guider GUI Guider 是恩智浦为 LVGL 开发了一个上位机GUI 设计工具 可以通过拖放控件的方式设计 LVGL GUI 页面

  • java热部署

    Class forName和ClassLoader loadClass 简书 Eclipse安装热部署热加载插件JRebel 免费版 idea也可用 that summer CSDN博客 Eclipse中使用JRebel实现项目热部署 Ma

  • 【自定义表单】自定义表单设计

    1 后端设计1 diy field pool 字段池 我们定义好的字段类型 diy form 表单表 记录用户自定义的表单 diy form field 表单字段表 记录某张表单中有哪些字段 diy form entity 表单实例表 记录

  • XP下VMware模拟Ubuntu不能使用共享文件夹问题解决vmhgfs

    目前XP下使用VMware workstation 6 0 2虚拟ubuntu后 即使安装了VMware Tools并设置了共享文件夹后 虽然可以看到 mnt hgfs 但仍旧不能访问共享目录的解决方案 问题 主要问题是在安装vmware

  • 向较长的字符串中的指定位置添加指定元素

    今天抓取数据的时候获取到多个url中的翻页数据 但是单个url又需要进行翻页的操作 因此就需要在url中指定的位置添加新的参数用于数据的翻页 如何在指定位置添加指定的参数呢 下面通过一个例子来说明 url https list tmall

  • Qt线程之间通过signal和slot传递数据

    Qt线程之间通过signal和slot传递数据 这种方法主要是为了设置自己定义的数据类型 在不同的线程之间进行通信 如果自己定义的数据类型未经处理之间传递会报如下错误 QObject connect Cannot queue argumen

  • OpenSea进阶之路:成立4年估值超百亿美元

    来源 Odaily星球日报 作者 Jeff Kauflin 2022 新年伊始 加密行业迎来的第一个好消息就是 Opensea 这个 NFT市场的王者在 1 月 5 日宣布完成了一笔高达 3 亿美元的 C 轮融资 估值更是飙升到 130 亿

  • python网页爬虫xpath应用

    一 认识xpath和xml数据 lxml是Python基于xpath做数据解析的工具 from lxml import etree 1 xpath数据解析 通过提供标签路径来获取标签 xpath指的就是标签的路径 1 xpath基本感念 树

  • gin 四.响应数据

    响应数据 一 响应数据 二 c Writer Header Set处理响应头 一 响应数据 在gin中请求接口响应时 实际可以响应会html text plain json和xml等 比如前面gin基础示例中 接口响应时可以使用 gin C

  • 关键字 package、import的使用

    一 package 关键字的使用 为了更好的实现项目中类型的管理 提供了包的概念 使用package声明类或接口所属的包 声明在源文件的首行 包 术语标识符 遵循标识符的命名规则 规范 xxxyyyzzz 见名知意 每 一次 就代表一层文件

  • 安卓页面去掉顶部标题

    我的个人博客 逐步前行STEP 将AndroidManifest xml文件中的

  • 【Visual Studio 2015】安全开发生命周期(SDL)检查

    有的时候写的代码明明没有什么问题就是编译不过 我就觉得奇怪了 我是编译通过的代码 怎么就有问题呢 在VS2015运行 还真是有问题 看错误提示 是VS将这个函数的使用当做错误对待了 在以前的VS版本中 检测并不严格 对于很多警告 我们程序员

  • 微信小程序 view内英文数字不换行

    view标签英文不换行 最近遇到一个bug 在一个text标签内 如果纯粹的中文字符那是可以换行的 如果text标签内出现了英文或者数字的组合 这个标签换行bug了 溢出了 OMG 我的天啊 赶紧去翻翻html5中遇到这样的问题怎么解决 果

  • cobaltstrike流量特征

    cobaltstrike流量特征 cobaltstrike是红队攻防中常用的工具 用以连接目标和cobaltstrike服务器 方便红队进一步对目标渗透 在双方通信过程中cobaltstrike流量具有很明显的特征 1 http 请求 ht

热门标签