Herramienta de prueba de penetración Cobalt StrikeCDN oculta
Cobalt Strike es un artefacto de prueba de penetración desarrollado por el Equipo Rojo de los Estados Unidos, y la gente de la industria a menudo lo llama CS. Se ha convertido en una herramienta indispensable en las pruebas de penetración. Tiene múltiples métodos de host de protocolo en línea e integra funciones como escalada de privilegios, exportación de credenciales, reenvío de puertos, proxy de socket, ataque de oficina, agrupación de archivos, phishing, etc. Al mismo tiempo, Cobalt Strike también puede llamar a otras herramientas conocidas como Mimikatz y puede usarse como un servicio de equipo, por lo que es muy apreciado por el personal de seguridad de la red.
Aunque Cobalt Strike es muy conveniente y poderoso durante las pruebas de penetración, su información de función predeterminada hace que el servidor CS sea fácilmente reconocido por equipos de monitoreo como el conocimiento de la situación, y el servidor está activado de manera predeterminada. El puerto también será marcado como servidor de ataque por sitios web de inteligencia, y si la contraseña del servidor de equipo es simple, también será anti-explosión.
Por tanto, es necesario ocultar el tráfico y las características de Cobalt Strike. Este artículo utiliza el método CDN+ para modificar la ocultación de funciones.
Para registrarse aquí se utiliza la plataforma www.freenom.com y es necesario iniciar sesión, así que prepare un correo electrónico con anticipación, ya sea nacional o extranjero.
consejos:
1. Después de seleccionar el nombre de dominio y registrarlo, debe iniciar sesión en la plataforma y luego completar la información relevante para el registro (la dirección IP actual debe ser el mismo, el código postal, el número de teléfono móvil, etc. pueden usar hermosa información virtual);
2. La plataforma cdn se utilizará en el futuro, por lo que el registro ns de la plataforma cdn debe estar vinculado a esta plataforma de nombres de dominio.
Una vez completado el registro del nombre de dominio, no se apresure a resolverlo, continúe con el segundo paso de la configuración de la plataforma CDN.
La plataforma CDN recomienda usar cloudflare
Primero registre una cuenta para iniciar sesión y use su correo electrónico para registrarse. Para mayor comodidad, puede usar el mismo correo electrónico que la plataforma freenom.
Después de ingresar a la plataforma Cloudflare, haga clic en el sitio web de la izquierda y luego agregue un nombre de dominio. El nombre de dominio agregado aquí está registrado por freenom.
Después de agregar el sitio, haga clic en el sitio y agregue registros en el DNS de la izquierda.
Si aparece dicha alarma después de completar la adición, significa que el registro ns no se ha modificado en la plataforma freenom y el registro ns debe modificarse en la plataforma cdn.
Ingrese a la plataforma freenom para modificar el registro ns. Primero inicie sesión, ingrese a la oficina de administración de nombres de dominio y modifique el nombre ns. El nombre ns que se completará aquí lo asigna la plataforma CDN. Consulte la imagen de arriba. El prefijo ns se asigna básicamente de forma aleatoria, por lo que prevalecerá el de la plataforma CDN.
Después de que freenom cambie el registro ns, vaya a la plataforma CDN y haga clic en "Verificar servidor de nombres" en la imagen de arriba para completar la actualización. En este momento, si intenta resolver el nombre de dominio o hacer ping al nombre de dominio, regresará exitosamente a la dirección IP de la CDN.
En SSL/TLS-----Descripción general en el lado izquierdo de la plataforma CDN, seleccione Flexible para el modo de cifrado a la derecha.
En el servidor de origen a la izquierda, haga clic en Crear certificado. Seleccione ECC como tipo de clave privada del servidor de origen y PEM como formato de clave.
¡Asegúrese de copiar el certificado de origen y la clave privada! Se utilizará más adelante.
CDN habilita el almacenamiento en caché de forma predeterminada, lo que puede afectar el host posterior en línea, el eco del comando de shell, etc. Por lo tanto, existen dos métodos para desactivar el caché. Se recomienda activarlos.
En la plataforma CDN-caché-configuración-modo de desarrollador-habilitar.
Crea dos reglas en Reglas-Crear reglas de página. Los nombres de dominio en las siguientes reglas no necesitan completar el nombre del registro A.
1. .your dmoain/;
2. your dmoain/*;
3. Establezca la regla en -cache level-bypass.
2. Genera un nuevo certificado de cobaltstrike. Si hay un certificado .store predeterminado en la carpeta cobaltstrike original, primero debe eliminar el predeterminado. Utilice el siguiente comando para generar:
ps: la contraseña de acceso aquí debe modificarse a una contraseña compleja. No utilice 123456.
ps: Todas las contraseñas aquí deben ser consistentes con las anteriores.
6.1 Modificar el puerto predeterminado del servidor de equipos
Edite el archivo de configuración del servidor de equipos y cambie el puerto 50050 predeterminado de CobaltStrike a otros puertos.
6.2 Modificar la información de huellas dactilares predeterminada del servidor de equipos
Editar el archivo de configuración del servidor de equipos El valor predeterminado es la información de Cobalt Strike o la información de Microsoft.
La información de la huella digital se puede cambiar a otro contenido.
El comando para iniciar el servidor de equipos debe ajustarse:
./contraseña de IP pública del servidor de equipos C2.profile
Después de conectarse al servidor de equipos, crear un oyente y Ma Zi. Tenga en cuenta que la dirección del oyente debe completarse con el nombre de dominio vinculado a la CDN, no con la dirección IP
PD: al crear un oyente, se recomienda utilizar el modo https. Y no utilice el 443 predeterminado para el puerto https en línea del oyente; de lo contrario, es posible que no pueda conectarse normalmente. Se recomienda que el puerto de escucha utilice otros puertos compatibles con CDN.
Primero abra Wirehark en la máquina virtual para habilitar el modo de captura de paquetes y luego coloque el caballo en la máquina virtual para su ejecución.
En este momento, el host en CS está en línea. Luego mire los paquetes de datos en Wireshark, filtre la dirección real del servidor y descubra que no hay nadie, todos son datos interactivos con la dirección CDN.
La siguiente figura filtra la dirección del servidor:
La siguiente figura muestra la dirección CDN:
En este punto, se completa la ocultación de CDN.