记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

威胁运营:从Cobalt Strike信标中挖掘数据

关键词:信标、数据集、Cobalt Strike本篇博客的作者团队RIFT在三年多前发布了关于识别Cobalt Strike团队服务器的信息,目前已经从超过24,000个活跃的团队服务器中收集了超过128,000个信标。现在作者将该信标数据集与用于研究和解析Cobalt Strike相关数据的Python库dissect.cobaltstrike的开源版本一起公开发布。发布的数据集包含从2018年到2022年的历史信标元数据。本篇博客将重点介绍其中一些发现,供读者参考。
发布时间:2022-04-06 01:26 | 阅读:47389 | 评论:0 | 标签:Cobalt Strike

【Cobalt Strike】CDN隐匿

0x00 简介CobaltStrike概述Cobalt Strike是一款美国Red Team开发的渗透测试神器,常被业界人称为CS。成为了渗透测试中不可缺少的利器。其拥有多种协议主机上线方式,集成了提权,凭据导出,端口转发,socket代理,office攻击,文件捆绑,钓鱼等功能。同时,Cobalt Strike还可以调用Mimikatz等其他知名工具并且可以作为团队服务使用,因此广受网络安全人员喜爱。
发布时间:2022-04-01 06:59 | 阅读:35703 | 评论:0 | 标签:Cobalt Strike

GhostWriter APT组织使用Cobalt Strike Beacon攻击乌克兰的国家实体

近期,乌克兰CERT-UA发现与白俄罗斯有关的GhostWriter APT组织进行的鱼叉式网络钓鱼活动,该组织通过Cobalt Strike Beacon恶意软件来攻击乌克兰国家实体。这次的网络钓鱼邮件使用名为“Saboteurs.rar”的RAR存档,其中包含RAR存档“Saboteurs 21.03.rar”。第二个存档包含SFX存档“Saboteurs filercs.rar”,专家声称这些文件名通过使用RTLO技巧来掩盖真正的文档扩展名。
发布时间:2022-03-29 15:54 | 阅读:43132 | 评论:0 | 标签:apt 攻击 Cobalt Strike

cobalt strike cdn上线笔记

 免费域名注册:https://www.freenom.com/zh/index.html?lang=zhCDN: https://dash.cloudflare.com/CS版本: cobalt strike4.4 一、新域名注册1、打开freenom进行新域名注册,先输入想要注册的域名,再检查其可用性。2、点击完成,修改 Period为12个月,更长时间就需要付费。3、进入账号注册页面,这里需要挂VPN,可以选择谷歌账号登录或者通过其他邮箱注册。4、邮箱会收到freenom发来的确认邮件,点击邮件内容中的链接来到资料填写页面。
发布时间:2022-03-11 10:32 | 阅读:39825 | 评论:0 | 标签:Cobalt Strike

Cobalt Strike, a Defender’s Guide – Part 2(译文)

在上一篇文章中,我们介绍了Cobalt Strike最受攻击者喜欢的一些功能。在本文中,我们将重点关注它所产生的网络流量,并提供一些简单易用的方法,来帮助防御者检测beaconing活动;本文涉及的主题包括域名前置、SOCKS代理、C2流量、Sigma规则、JARM、JA3/S、RITA等。与我们之前的文章一样,我们将重点介绍攻击者使用Cobalt Strike的常见方式。感谢@Kostastsale帮助我们完成了本系列的第二篇文章。同时,也特别感谢@svch0st、@pigerlin和@0xtornado审阅本文。
发布时间:2022-02-08 12:17 | 阅读:34984 | 评论:0 | 标签:Cobalt Strike

使用Cobalt Strike以及IAT Hooking,绕过BeaconEye的检测

加密堆分配为什么要对堆分配进行加密?堆栈是局部作用域的,通常在函数完成时退出作用域。这意味着在函数运行期间设置在堆栈上的项目会在函数返回并完成时脱离堆栈;这显然不适用于你长期保存内存变量的期望。此时,就需要用到堆了。堆更像是一种长期内存存储解决方案。堆上的分配保留在堆上,直到你手动释放它们。如果你不断地将数据分配到堆上而从未释放任何内容,也可能导致内存溢出。也就是说,堆可能包含长期配置信息,例如 Cobalt Strike 的牺牲进程、休眠时间、回调路径等。这意味着如果你的 Cobalt Strike 代理在内存中运行,则任何防御者都可以在进程堆空间中以纯文本形式看到你的配置。
发布时间:2022-01-25 13:19 | 阅读:42096 | 评论:0 | 标签:Cobalt Strike

Cobalt Strike 4.1 版本上线linux

前言 拿cobaltstrike 4.1 版本上线linux还是很早的想法了,多次实验无奈都失败了。又没有毅力继续坚持解决掉这个问题。这不,最近又想折腾一下了,翻看各种大佬的博客资料,实验各个版本的差异,他终于可以了。在此,做个记录。 CrossC2 项目 CrossC2 项目是为了支持cobaltstrike 对其他平台的渗透测试而开发的插件。目前github上支持cobaltstrike 4.1、4.0、3.14 版本。 由于之前在本地MAC上做了多次实验,导致环境比较乱,这里我就记录做成的这次的实验。
发布时间:2021-12-24 12:34 | 阅读:53697 | 评论:0 | 标签:红队技术 linux Cobalt Strike

Cobalt Strike 的特征与隐藏

前言 很早之前已经在cobalt strike 上做过了一些特征处理,作为临时的一种方案。不过并没有完全去除,这次打算再把cobalt strike的特征和隐藏的一些手段捋一遍。 端口 cobalt strike 默认50050端口,修改也很简单。只需要编辑teamserver文件,修改server_port 即可。 cobaltstrike.store cobaltstrike.store证书只用于服务端和客户端通讯。区别于HTTPS上线使用的证书。
发布时间:2021-12-24 02:07 | 阅读:77620 | 评论:0 | 标签:红队技术 特征 Cobalt Strike

【红蓝对抗Wiki】常规渗透靶机搭建

Tide安全团队Wiki从2020年7月创建以来,陆陆续续成立了红蓝对抗Wiki、移动安全Wiki、代码审计Wiki、应急响应Wiki、工控安全WiKi、物联网安全WiKi、远控免杀Wiki等栏目,后续会节选各小组部分文章于公众号进行发表。 关于更多的Wiki详情,欢迎有兴趣的小伙伴可以移步Tide安全团队Wiki栏目作进一步了解:https://www.yuque.com/tidesec Tide-红蓝对抗Wiki由Tide安全团队红蓝对抗小组出品,团队成员具有丰富的红蓝对抗、重保演练行动等常态化经验。
发布时间:2021-12-16 14:01 | 阅读:56267 | 评论:0 | 标签:cobalt strike system shell 内网探测 哈希传递 红蓝对抗Wiki 渗透 靶机

攻击者使用域前置技术以 Cobalt Strike 攻击缅甸

译者:知道创宇404实验室翻译组原文链接:https://blog.talosintelligence.com/2021/11/attackers-use-domain-fronting-technique.html 摘要Cisco Talos在2021年9月发现了一个新的恶意活动,攻击者使用了泄露的Cobalt Strike版本。尽管Cobalt Strike最初是作为合法工具创建的,但它仍然是安全工作者需要监视的东西,因为攻击者正在使用它来设置攻击。本例中的攻击者使用Cloudflare内容分发网络的域前置,将缅甸政府拥有的域定向到攻击者控制的服务器。
发布时间:2021-11-23 13:01 | 阅读:45075 | 评论:0 | 标签:攻击 Cobalt Strike

〖工具〗Ladon大型内网渗透扫描器&Cobalt Strike

Ladon一款用于大型内网渗透的多线程插件化综合扫描神器,含端口扫描、服务识别、网络资产、密码爆破、高危漏洞检测以及一键GetShell,支持批量A段/B段/C段以及跨网段扫描,支持URL、主机、域名列表扫描。
发布时间:2021-11-12 02:22 | 阅读:154557 | 评论:0 | 标签:扫描 渗透 Cobalt Strike 内网

除通过共享密钥可解密 Cobalt Strike 加密流量外,也可通过内存 Dump 中提取密钥来进行解密。

如前文所述,Cobalt Strike 网络流量可以使用正确的 AES 和 HMAC 密钥进行解密。之前也讲述了如何通过解密 Cobalt Strike 元数据的方法获取密钥,本文将会重点描述从内存 Dump 中提取密钥的方法。通过共享密钥解密 Cobalt Strike 流量Avenger,公众号:威胁棱镜破解版密钥相同,部分CobaltStrike加密流量可解如果发现了正在运行的 Beacon 进程,可以使用 Sysinternals 的 procdump 来生成内存 Dump。并不需要完整的内存 Dump,只使用 procdump.exe -mp pid dump 可写进程内存即可。
发布时间:2021-11-04 20:28 | 阅读:58453 | 评论:0 | 标签:加密 内存 解密 Cobalt Strike

如何通过进程内存提取密钥解密Cobalt Strike流量

收录于话题 #CobaltStrike 4 个内容 #加密流量 2 个内容 #恶意软件 8 个内容 #内存安全 1 个内容 如前文所述,Cobalt Strike 网络流量可以使用正确的 AES 和 HMAC 密钥进行解密。之前也讲述了如何通过解密 Cobalt Strike 元数据的方法获取密钥,本文将会重点描述从内存 Dump 中提取密钥的方法。
发布时间:2021-11-04 18:01 | 阅读:36491 | 评论:0 | 标签:内存 解密 Cobalt Strike

通过进程内存提取密钥解密Cobalt Strike流量

#CobaltStrike 4 个内容 #加密流量 2 个内容 #恶意软件 8 个内容 #内存安全 1 个内容 如前文所述,Cobalt Strike 网络流量可以使用正确的 AES 和 HMAC 密钥进行解密。之前也讲述了如何通过解密 Cobalt Strike 元数据的方法获取密钥,本文将会重点描述从内存 Dump 中提取密钥的方法。
发布时间:2021-11-04 17:40 | 阅读:52055 | 评论:0 | 标签:内存 解密 Cobalt Strike

〖工具〗Cobalt Strike 3.12 3.13 4.3 4.4 K8破解版

Cobalt Strike K8破解版Cobalt Strike 4.4Cobalt Strike 4.3Cobalt Strike 3.13Cobalt Strike 3.121.内置Windows版TeamServer.exe启动器2.内置巨龙拉冬Ladon7.2 巨龙拉冬插件K8版默认集成
发布时间:2021-10-30 20:58 | 阅读:136732 | 评论:0 | 标签:破解 Cobalt Strike

Cobalt Strike与Ladon联动自动渗透

=============================================================================================+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ 为何要自动化?你是否遇到过CS只上线几分钟又下线的情况,这种情况可能是安全公司扫描自动CS上线的,当然这并不是我们的重点,因为做个IP过滤或改一下CS就好了。
发布时间:2021-10-24 12:56 | 阅读:61541 | 评论:0 | 标签:渗透 自动 Cobalt Strike

巨龙拉冬:让你的Cobalt Strike变成超级武器

Cobalt Strike巨龙拉冬插件9.0发布,让大家久等了,就当是程序员节礼物。原计划是Ladon8.0的时候出的,当时也实现了部份功能,但因为放在虚拟机里,可能误删了没备份,也因为各种事懒得重写,拖着拖着Ladon已出到9.0了,也想国庆写,但国庆又想上王者,于是又拖到最近两天才重写插件,CS右键已实现90%的功能部分功能请先在Beacon命令行使用。
发布时间:2021-10-24 12:55 | 阅读:103470 | 评论:0 | 标签:Cobalt Strike

黑客改造渗透测试工具Cobalt Strike兼容Linux信标

安全研究人员发现了一个由未知黑客组织制作的Cobalt Strike BeaconLinux版本,以协调对全球范围内广泛目标的攻击。这些攻击针对的是电信公司、政府机构、IT公司、金融机构和咨询公司。代号为Vermilion的威胁行为者修改Cobalt Strike的一个版本 ,CobaltStrike是一种合法的渗透测试工具,被用作红队的攻击框架(一群安全专业人员在自己的组织基础设施上充当攻击者,以发现安全漏洞和漏洞。)CobaltStrike还被威胁行为者(通常在勒索软件攻击中删除)用于部署所谓的信标后的后利用任务,这些信标提供对受感染设备的持久远程访问。
发布时间:2021-10-22 04:21 | 阅读:71384 | 评论:0 | 标签:linux 渗透 黑客 Cobalt Strike

Vermilion Strike:重写的跨平台 Cobalt Strike

Cobalt Strike 广泛被攻击者所使用,暂时还没有可用于 Linux 平台的官方 Cobalt Strike。2021 年 8 月,Intezer 发现了一个全新的、ELF 的 Cobalt Strike Beacon,将其命名为 Vermilion Strike。该样本使用 Cobalt Strike 的 C&C 协议与 C&C 服务器通信,并且具备远程访问、上传文件、运行 Shell 命令、写入文件等功能。在撰写本文时,没有任何引擎检出该恶意软件,该恶意软件由马来西亚上传。
发布时间:2021-09-22 17:03 | 阅读:54306 | 评论:0 | 标签:Cobalt Strike

【干货】通过命名管道分析检测 Cobalt Strike

文章来源:黑白天实验室基本分析Cobalt Strike 在执行其某些命令时会使用一种称为“Fork-n-Run”的特定模式。“Fork-n-Run”模式包括产生一个新进程(也称为牺牲进程)并将shellcode注入其中。这种模式提供了许多好处,一个是能够执行长时间运行的任务,例如:“键盘记录器”,不会阻塞主 Beacon 线程。一般来说都是由反射 DLL 实现的。在Cobalt Strike的最新版本 在如何自定义能力注入过程方面为红队提供了极大的灵活性。我们应该更加关注一些没有太大变化的东西。更具体地说,一个保持不变的特性是能够检索注入模块的输出。
发布时间:2021-09-19 11:08 | 阅读:45040 | 评论:0 | 标签:分析 Cobalt Strike

瞄准Linux系统!攻击者改造渗透测试工具Cobalt Strike兼容Linux信标

更多全球网络安全资讯尽在邑安全9月13日,安全研究人员发现了一个由未知黑客组织制作的Cobalt Strike Beacon Linux版本,以在全球范围内扩大目标攻击。这些攻击针对的是电信公司、政府机构、IT公司、金融机构和咨询公司。代号为Vermilion的威胁行为者修改了Cobalt Strike的一个版本 ,Cobalt Strike是一种合法的渗透测试工具,被用作红队的攻击框架。Cobalt Strike还被威胁行为者(通常在勒索软件攻击中删除)用于部署所谓的信标后的后利用任务,这些信标提供对受感染设备的持久远程访问。
发布时间:2021-09-18 13:48 | 阅读:56208 | 评论:0 | 标签:linux 攻击 渗透 Cobalt Strike

通过命名管道分析检测 Cobalt Strike

基本分析Cobalt Strike 在执行其某些命令时会使用一种称为“Fork-n-Run”的特定模式。“Fork-n-Run”模式包括产生一个新进程(也称为牺牲进程)并将shellcode注入其中。这种模式提供了许多好处,一个是能够执行长时间运行的任务,例如:“键盘记录器”,不会阻塞主 Beacon 线程。一般来说都是由反射 DLL 实现的。在Cobalt Strike的最新版本 在如何自定义能力注入过程方面为红队提供了极大的灵活性。我们应该更加关注一些没有太大变化的东西。更具体地说,一个保持不变的特性是能够检索注入模块的输出。例如,“键盘记录器”模块能够将按下的键发送回主信标进程。
发布时间:2021-09-18 00:32 | 阅读:58538 | 评论:0 | 标签:分析 Cobalt Strike

分析Cobalt Strike Payload

原始PayloadCobalt Strike 的Payload基于 Meterpreter shellcode,例如 API 哈希(x86和x64版本)或http/https Payload中使用的url checksum8 算法等等。x86默认的 32 位原始负载的入口点以典型指令开始,CLD (0xFC),然后是CALL指令,并PUSHA (0x60)作为 API 哈希算法的第一条指令。x64默认 64 位原始负载也以CLD指令开头,然后是AND RSP,-10h和CALL指令。我们可以使用这些来定位Payload的入口点,并从该位置计算其他固定偏移量。
发布时间:2021-09-17 03:12 | 阅读:82860 | 评论:0 | 标签:分析 Cobalt Strike

如何正确的 "手撕" Cobalt Strike

robots 00 背景众所周知,Cobalt Strike是一款在渗透测试活动当中,经常使用的C2(Command And Control/远程控制工具)。而Cobalt Strike的对抗是在攻防当中逃不开的话题,近几年来该领域对抗也愈发白热化。
发布时间:2021-09-13 11:40 | 阅读:69062 | 评论:0 | 标签:Cobalt Strike

【干货】使用内存特征检测 Cobalt Strike

文章来源:黑白天实验室Beacon 通常是反射加载到内存中,还可以配置各种内存中混淆选项以隐藏其有效负载。Beacon 可以配置各种内存中混淆选项以隐藏其有效负载。例如,obfuscate-and-sleep 选项会试图在回调之间屏蔽部分 Beacon 有效负载,以专门避开基于特征的内存扫描。Obfuscate and Sleep是一个Malleable C2选项,在Cobalt Strike 3.12.引入。启用后,Beacon将在进入Sleep状态之前在内存中混淆自身。
发布时间:2021-09-11 11:05 | 阅读:88996 | 评论:0 | 标签:内存 特征 Cobalt Strike

如何正确的 "手撕" Cobalt Strike

微信又改版了,为了我们能一直相见你的加星和在看对我们非常重要点击“长亭安全课堂”——主页右上角——设为星标
发布时间:2021-09-10 19:00 | 阅读:45743 | 评论:0 | 标签:Cobalt Strike

Cobalt Strike 上线器在线版

看到一个好玩的项目:https://github.com/hariomenkel/CobaltSpam/这个项目可以伪造CobaltStrike的上线信息,原理是在CobaltStrike teamserver的默认配置下可以识别出beacon信息,基于该信息就可以伪造CobaltStrike的上线信息了。一般来说,没有做特别防护的teamserver,使用了stager功能都会受到这个工具的影响。stager功能即分段shellcode,换句话说,使用了cs的shellcode都会受此影响。
发布时间:2021-09-08 16:22 | 阅读:94480 | 评论:0 | 标签:Cobalt Strike

Cobalt Strike 4.4 (August 04, 2021)发布,这次是真的!

#远程控制 3个 Cobalt Strike 4.4 (August 04, 2021)发布,这次是真的!千呼万唤始出来,犹抱琵琶半遮面。经过多天量子计算器告诉运算,终于计算出网传泄露的Cobalt Strike 4.4 (August 04, 2021)的密码。2021 年 8 月 4 日 - Cobalt Strike 4.4-------------+ 添加对用户定义反射加载器的支持。 https://www.cobaltstrike.com/help-user-defined-reflective-loader+ 添加对用户定义睡眠屏蔽的支持。
发布时间:2021-08-26 06:04 | 阅读:401541 | 评论:0 | 标签:Cobalt Strike

新的Cobalt Strike 漏洞允许关闭攻击者的服务器

CobaltStrike是一款合法的渗透测试工具,设计用于红队(一组安全专业人员,他们在自己组织的基础设施上充当攻击者,以发现安全漏洞和漏洞)的攻击框架。 然而,CobaltStrike也被威胁行为者(通常在勒索软件攻击期间使用)用于部署所谓信标(beacon)后的利用任务,这些信标为他们提供对被攻击设备的持久远程访问。 利用这些信标,攻击者可以随后访问被入侵的服务器,获取数据或部署第二阶段的恶意软件载荷。 将基础设施作为目标 SentinelOne威胁研究团队在最新版本的CobaltStrike的服务器中发现了统称为CVE-2021-36798(并称为Hotcobalt)的DoS漏洞。
发布时间:2021-08-18 03:39 | 阅读:49281 | 评论:0 | 标签:漏洞 攻击 Cobalt Strike

Cobalt Strike免杀脚本生成器|cna脚本|bypassAV

#远控免杀 1个 目录导航使用方法参考文章cna脚本下载地址杀毒软件绕过效果检测①bypass火绒效果② bypass 卡巴斯基效果注意事项:仅用于技术交流,请勿用于非法用途。该插件没有什么技术含量,本质上利用的ps2exe.ps1脚本编译为exe,只是不想在命令行里操作,将其写为cna脚本,方便直接快速生成免杀的可执行文件且只有50KB,目前支持exe、ps1文件格式。注:建议在powershell 4.0版本以上机器安装,可向下兼容powershell 2.0。使用方法在导入cna脚本之前,只需要修改当前路径$path为powershell_bypass.cna所在的真实路径即可。
发布时间:2021-08-16 01:09 | 阅读:217288 | 评论:0 | 标签:Cobalt Strike

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

广而告之 💖

标签云 ☁

本页关键词 💎