Cobalt Strike流量特征分析 | 您所在的位置:网站首页 › 内网渗透 cs › Cobalt Strike流量特征分析 |
目录 Cobalt Strike简介 Cobalt Strike基本工作流程 HTTP特征 一、源码特征 checksum8解密算法 二、流量特征 固定的user-agent头 特殊的请求特征 魔改后的cobalt strike遗留特征 三、利用工具检测cobalt strike HTTPS特征 一、证书特征 二、源码中的强特征 1.ja3 2.ja3s Cobalt Strike简介:Cobalt Strike 是一款GUI的框架式渗透工具,集成了端口转发、服务扫描,自动化溢出,多模式端口监听,win exe木马生成,win dll木马生成,java木马生成,office宏病毒生成,木马捆绑;钓鱼攻击包括:站点克隆,目标信息获取,java执行,浏览器自动攻击等等。 Cobalt Strike基本工作流程:Cobalt Strike是以C/S架构为基础的渗透测试软件,分为clint端、server端和被控端。 1.被控端发送心跳包 2.server端收到心跳包并记录被控端主机信息 3.被控端再次发送心跳包询问server端是否有指令 4.clint端发送指令给server端 5.server端接受指令并加密,发送给被控端 6.被控端接受指令并解密,把执行结果返回到server端 HTTP特征: 一、源码特征在流量中,通过http协议的url路径,在checksum8解密算法计算后,32位的后门得到的结果是92,64位的后门得到的结果是93,该特征符合未魔改Cobalt Strike的流量特征。 checksum8解密算法 public class EchoTest { public static long checksum8(String text) { if (text.length() < 4) { return 0L; } text = text.replace("/", ""); long sum = 0L; for (int x = 0; x < text.length(); x++) { sum += text.charAt(x); } return sum % 256L; } public static void main(String[] args) throws Exception { System.out.println(checksum8("flJA")); } }例如,用wireshark抓到的数据包如下,利用checksum8算法计算结果为93,即可判断此木马为64位的cs后门。 二、流量特征 1.固定的user-agent头 老版本的cobalt strike中user-agent头是固定不变的,可以作为一个特征,新版本的cobalt strike中的user-agent头是会每次都变化的。 例如,在cobalt strike4.8中两个不同的cobalt strike数据包的user-agent头是不同的。 在使用cobalt strike下达指令时,会出现post请求/sumbit.php?id=xxx的特征,该特征可以判断cobalt strike。 即使cobalt strike进行了证书文件的魔改,可以消除数据包的部分特征,但仍有部分特征没有修改,例如该图中是修改了cobalt strike证书文件的数据包情况,但是遗留了GET /cx和POST /q.cgi这两个特征。 在cobalt strike的心跳包中包含着cobalt strike的一些信息,例如ip,端口号等等,但是这些信息时加密的,因此我们可以利用Didier stevens suite这款工具进行解密。 Didier Stevens Suite | Didier Stevens 如果没有修改cobalt strike的证书或者自己手动加载自定义证书,默认的cobalt strike证书可以直接判断出该工具是cobalt strike。 在数据包的client hello中,数据包有JA3 和操作系统有关,每个操作系统都有固定的值,例如我使用的操作系统为windows11 JA3 windows11固定值 JA3:db36bad574044a5104a59b0c676991ef JA3:4d5efa96609dc906f796e63cff009c2a 2.ja3s在数据包的server hello中,数据包有JA3s 和操作系统有关,每个操作系统都有固定的值,例如我使用的操作系统为windows11 JA3s windows11固定值 JA3s:15af977ce25de452b96affa2addb1036 JA3s:2253c82f03b621c5144709b393fde2c9
|
CopyRight 2018-2019 实验室设备网 版权所有 |