攻防演练 | 记一些常用的反制红队CS的思路
💡
原文中文,约2000字,阅读约需5分钟。
📝
内容提要
本文介绍了对红队常用的C2工具Cobalt Strike的后门的反制方法,包括分析上线流程、获取Stager Url和Beacon解密算法。文章还提到了相关函数和工具,如checksum8、MSFURI和isStager。此外,还介绍了两种反制方法:爆破弱口令和CS RCE(CVE-2022-39197)。
🎯
关键要点
- Cobalt Strike是红队常用的C2工具,存在后门。
- 反制方法包括分析上线流程、获取Stager Url和Beacon解密算法。
- CS上线流程包括生成Beacon、投递Stager、下载Stage、解密配置等步骤。
- 核心点为Stager Url校验算法和Beacon配置解密算法。
- checksum8函数用于计算数据的8位校验和,验证数据完整性。
- MSFURI函数处理Metasploit框架中的URL。
- isStager函数判断某个数据是否为Stager。
- 使用工具进行Beacon配置解密,链接为GitHub上的CobaltStrikeParser。
- 方法1:通过爆破弱口令反制CS,使用masscan扫描开放端口。
- 破解脚本可在GitHub上找到,使用示例为python csbruter.py。
- 方法2:利用CVE-2022-39197漏洞反制红队主控制端。
- 该漏洞存在于Cobalt Strike <4.7.1版本,通过修改进程名加载恶意jar包进行攻击。
🏷️
标签
➡️
