攻防演练 | 记一些常用的反制红队CS的思路
原文中文,约2000字,阅读约需5分钟。
📝
内容提要
本文介绍了对红队常用的C2工具Cobalt Strike的后门的反制方法,包括分析上线流程、获取Stager Url和Beacon解密算法。文章还提到了相关函数和工具,如checksum8、MSFURI和isStager。此外,还介绍了两种反制方法:爆破弱口令和CS RCE(CVE-2022-39197)。
🎯
关键要点
-
Cobalt Strike是红队常用的C2工具,存在后门。
-
反制方法包括分析上线流程、获取Stager Url和Beacon解密算法。
-
CS上线流程包括生成Beacon、投递Stager、下载Stage、解密配置等步骤。
-
核心点为Stager Url校验算法和Beacon配置解密算法。
-
checksum8函数用于计算数据的8位校验和,验证数据完整性。
-
MSFURI函数处理Metasploit框架中的URL。
-
isStager函数判断某个数据是否为Stager。
-
使用工具进行Beacon配置解密,链接为GitHub上的CobaltStrikeParser。
-
方法1:通过爆破弱口令反制CS,使用masscan扫描开放端口。
-
破解脚本可在GitHub上找到,使用示例为python csbruter.py。
-
方法2:利用CVE-2022-39197漏洞反制红队主控制端。
-
该漏洞存在于Cobalt Strike <4.7.1版本,通过修改进程名加载恶意jar包进行攻击。
🏷️
