我们先看官方博客的两篇文章:

一.Cobalt Strike Team Server Population Study

Cobalt Strike Team Server Population Study

由于关乎渗透人员自身的安全,建议大家好好看看,这里我贴出最重要的防护部分:

  1. 不要在Cobalt Strike中使用默认的HTTPS证书。
    1.1 如何使用自签名证书见 https://www.cobaltstrike.com/help-malleable-c2
    1.2 有自己域名情况下可使用let's enceypt生成免费证书,如果你赖的话可直接使用在线生成 https://freessl.cn/,然后把证书转为JKS格式即可(在线转换 https://myssl.com/cert_convert.html)
  2. 0.0.0.0是Cobalt Strike DNS Beacon特征。使用dns_idle Malleable C2选项将其更改为其他内容。
  3. 编辑teamserver脚本的最后一行,将端口从50050更改为其他内容。
  4. 如果Cobalt Strike正在承载信标有效载荷阶段,它将发送有效载荷阶段以响应有效请求。即使在Cobalt Strike中配置HTTP stager块,这仍然是正确的。HTTP Stager块重新配置Cobalt Strike中的分段指示器。它不会禁用与metasploit框架的兼容性。如果不希望Cobalt Strike承载有效载荷阶段,请将host_stage Malleable C2选项设置为假。此选项需要对操作方式进行一些更改。
  5. 使用Apache或Nginx web服务器作为钴攻击团队服务器的重定向器。将对团队服务器的80/443连接限制为这些重定向。正确配置的重定向器将平滑特定于Cobalt Strike web服务器的指示器(例如用于SSL连接的JA3S指纹)。对于非登台和非命令和控制uri,重定向也是提供合法内容的机会。Red Team Infrastructure Wiki对这个主题提供了建议。

增加一条:自己的渗透服务器安全一定要做好,尽量按照最小原则。

二.Cobalt Strike 3.13 – Why do we argue?

Cobalt Strike 3.13 – Why do we argue?

介绍3.13更新了哪些功能,具体可见文章。

增加了TCP Beacon和 SMB Beacon,按照官方说法tcp beacon不支持X64

 

增加了内存混淆,需要在Malleable C2 profile 配置中启用

增加了make_token,修改了powerpick等等,具体更改日志见: https://www.cobaltstrike.com/releasenotes.txt


Cobalt Strike 3.13由evilwing提供破解,感谢分享:

git: https://github.com/evilwing/WingCS   (dehex)


由于上面链接失效,这里补个链接:

链接: https://pan.baidu.com/s/1AghzOcFlNBd_b0PWOKkfYw 提取码: ed28

解压密码:CobaltStrike

最后附上Cobalt Strike 3.13的使用说明: https://www.cobaltstrike.com/downloads/csmanual313.pdf

转载文章请注明,转载自:小马's Blog https://www.i0day.com

本文链接: https://www.i0day.com/1957.html