Cobalt Strike流量特征分析

目录

Cobalt Strike简介

Cobalt Strike基本工作流程

HTTP特征

一、源码特征

checksum8解密算法

 二、流量特征

固定的user-agent头

特殊的请求特征

魔改后的cobalt strike遗留特征

三、利用工具检测cobalt strike

HTTPS特征

一、证书特征

二、源码中的强特征

1.ja3

2.ja3s

Cobalt Strike 是一款GUI的框架式渗透工具，集成了端口转发、服务扫描，自动化溢出，多模式端口监听，win exe木马生成，win dll木马生成，java木马生成，office宏病毒生成，木马捆绑；钓鱼攻击包括：站点克隆，目标信息获取，java执行，浏览器自动攻击等等。

Cobalt Strike是以C/S架构为基础的渗透测试软件，分为clint端、server端和被控端。

1.被控端发送心跳包

2.server端收到心跳包并记录被控端主机信息

3.被控端再次发送心跳包询问server端是否有指令

4.clint端发送指令给server端

5.server端接受指令并加密，发送给被控端

6.被控端接受指令并解密，把执行结果返回到server端

在流量中，通过http协议的url路径，在checksum8解密算法计算后，32位的后门得到的结果是92，64位的后门得到的结果是93，该特征符合未魔改Cobalt Strike的流量特征。

例如，用wireshark抓到的数据包如下，利用checksum8算法计算结果为93，即可判断此木马为64位的cs后门。

老版本的cobalt strike中user-agent头是固定不变的，可以作为一个特征，新版本的cobalt strike中的user-agent头是会每次都变化的。

例如，在cobalt strike4.8中两个不同的cobalt strike数据包的user-agent头是不同的。

 在使用cobalt strike下达指令时，会出现post请求/sumbit.php？id=xxx的特征，该特征可以判断cobalt strike。

即使cobalt strike进行了证书文件的魔改，可以消除数据包的部分特征，但仍有部分特征没有修改，例如该图中是修改了cobalt strike证书文件的数据包情况，但是遗留了GET /cx和POST /q.cgi这两个特征。

在cobalt strike的心跳包中包含着cobalt strike的一些信息，例如ip，端口号等等，但是这些信息时加密的，因此我们可以利用Didier stevens suite这款工具进行解密。

Didier Stevens Suite | Didier Stevens

如果没有修改cobalt strike的证书或者自己手动加载自定义证书，默认的cobalt strike证书可以直接判断出该工具是cobalt strike。

在数据包的client hello中，数据包有JA3

和操作系统有关，每个操作系统都有固定的值，例如我使用的操作系统为windows11

JA3 windows11固定值

JA3:db36bad574044a5104a59b0c676991ef

JA3:4d5efa96609dc906f796e63cff009c2a

在数据包的server hello中，数据包有JA3s

和操作系统有关，每个操作系统都有固定的值，例如我使用的操作系统为windows11

JA3s windows11固定值

JA3s:15af977ce25de452b96affa2addb1036

JA3s:2253c82f03b621c5144709b393fde2c9