如何進行Cobalt Strike檢測方法與去特征的思考

本篇文章為大家展示了如何進行Cobalt Strike檢測方法與去特征的思考，內容簡明扼要并且容易理解，絕對能使你眼前一亮，通過這篇文章的詳細介紹希望你能有所收獲。

人云亦云

關于檢測Cobalt Strike的方法有很多，而網上有一些文章會告訴大家如何修改所謂的特征值，但是這些方法實際上存在一定的誤導和盲區(qū)

一般發(fā)現(xiàn)Cobalt Strike服務器的途徑有以下幾種（簡單分類，不準確，勿噴）

樣本分析

中馬回連

黑客連主控端

掃描發(fā)現(xiàn)

這里被使用的比較多的就是掃描發(fā)現(xiàn)，同時網上一些文章提到Cobalt Strike默認的SSL/TLS證書是固定的，所以一般都是使用這個證書作為特征值來發(fā)現(xiàn)Cobalt Strike服務器

所以，今天我們主要討論這個默認SSL/TLS證書的問題

證書修改

現(xiàn)在讓我們提取這個證書的相關信息

根據(jù)網上一些文章的修改方法，我們需要使用keytool修改證書信息，方法如下

默認的證書具有很明顯的特征，例如

O=cobaltstrike, OU=AdvancedPenTesting, CN=Major Cobalt Strike

我們拿這個信息去檢索就可以發(fā)現(xiàn)許多Cobalt Strike服務器

但是這里忽略了一個問題，你到底修改的是什么證書，是主機上線的時候使用的嗎？

這個證書是teamserver主控端使用的加密證書（默認端口50050)

修改這個證書以后teamserver服務器主控端的特征是沒了

之前有一些人hunting C2服務器使用的就是這個規(guī)則

例如在fofa.so中，就有一條規(guī)則叫

protocol=="cobaltstrike"

當然，我們也可以使用

cert="Major Cobalt Strike"

直接搜索

這里需要注意，使用

cert="Major Cobalt Strike"

搜索會發(fā)現(xiàn)有一些主機并沒有被標注為Cobalt Strike服務器

（存在漏網之魚

當然為了保證數(shù)據(jù)的時效性，我們在fofa.so搜索的時候最好加上

after="2020-01-01"

重要的分割線?。。。∽⒁猓。。?！

但是！https上線使用的證書，并不是上邊我們修改的那一個，并且這個證書也是默認的...

證書信息如下圖：

如果想要修改這個證書，需要修改Malleable C2 profile

其中Self-signed Certificates with SSL Beacon和Valid SSL Certificates with SSL Beacon是用來修改https上線使用的證書的，Self-signed Certificates with SSL Beacon根據(jù)字母意思理解，就是自己設定的自簽名證書，還有如果使用了Valid SSL Certificates with SSL Beacon，我們在之前通過keytool設置的證書也可以用的上，但是這里應該讓我們使用的是真實的證書，不管是偷來的還是買來的，用就完了

Let's Hunt！

使用fofa.so搜索相關證書信息

cert="73:6B:5E:DB:CF:C9:19:1D:5B:D0:1F:8C:E3:AB:56:38:18:9F:02:4F" && after="2020-01-01"

使用censys.io搜索相關信息

443.https.tls.certificate.parsed.fingerprint_sha256:87f2085c32b6a2cc709b365f55873e207a9caa10bffecf2fd16d3cf9d94d390c

這里我們可以發(fā)現(xiàn)一些有趣的現(xiàn)象，例如有些服務器的50050端口也開了，teamserver主控端的證書確實也是修改了，這證明攻擊者還是會看一下文章學習如何去特征，但不幸的是只修改了一個

僅僅是掃描ip就能拿到所有證書嗎？不能，我們也需要掃描域名，還有就是https也不一定只開在443端口上

據(jù)我們了解，好多人搭建C2服務器的方法都比較原始，比如在某云搭建C2服務器，不會使用slb/elb轉發(fā)請求，不會使用security group控制訪問，不會使用一些高明的隱藏C2的方法。并且爛大街的Domain fronting、CDN上線、高信譽服務等等也不會使用，就是上線梭哈一把刷.....真的是給藍隊兄弟們一條生路

等等，到這就完了嗎？

檢測加密流量

如果這些信息都修改了我們該怎么辦那？

實際上還是有方法去檢測的

我們可以參考https://github.com/salesforce/ja3這個項目

簡單科普一下JA3

JA3方法用于收集Client Hello數(shù)據(jù)包中以下字段的十進制字節(jié)值：版本、可接受的密碼、擴展列表、橢圓曲線密碼和橢圓曲線密碼格式。然后，它將這些值串聯(lián)在一起，使用“,”來分隔各個字段，同時，使用“-”來分隔各個字段中的各個值。

這里相當于把支持的TLS擴展信息，都收集起來當作一個特征值來用（除了客戶端發(fā)起的，還有關于服務器的JA3S）

這其實算一種降維打擊，并且我們發(fā)現(xiàn)主流在線沙箱、主流IDS大都支持了JA3/JA3S指紋檢測。

上述內容就是如何進行Cobalt Strike檢測方法與去特征的思考，你們學到知識或技能了嗎？如果還想學到更多技能或者豐富自己的知識儲備，歡迎關注億速云行業(yè)資訊頻道。