主页 > 网络知识 > 保姆级Cobalt Strike主机隐藏教程

保姆级Cobalt Strike主机隐藏教程

根据现有检测机制,来对服务器进行隐藏,增加c2服务器被检测到的几率。

CDN:cloudflare

服务器:阿里云香港 debian10 amd64

证书:let's encrypt 免费证书

域名:dot.tk免费域名

CS:CobaltStrike 4.2

一、CS服务端配置

上传CS到服务器,配置java坏境等步骤略。
需要做的操作分别为:禁ping、修改默认端口、修改客户端连接证书。

1.1 服务器禁ping

当服务器禁ping后,从某种角度可以判定为主机为不存活状态。

1.1.1 修改系统配置。

编辑文件/etc/sysctl.conf,在里面增加一行。
net.ipv4.icmp_echo_ignore_all=1
之后使命命令sysctl -p使配置生效

-w504


之后在ping就无法ping通了。
这种方式nmap还是可以扫描到服务器的存活的。

 

1.1.2 云服务器防火墙(安全组)

使用云服务器防火墙的方式可以更好的控制流量不流向云服务器本身。从外层入口阻断流量。
前提是需要你的服务器为ecs服务器,不能我这种轻量级主机。具体的操作这里就不记录操作了。毕竟我也没有这样还样的服务器。

1.2 修改端口

编辑teamserver文件,搜索50050,将其改为任意端口即可,这里改成53389。

 

-w684

保存退出再次启动时端口就变化了。

-w391

 

1.3 修改默认证书

因为cs服务端生成的证书含有cs的相关特征所有,这里进行修改替换。修改方式有两种,分别为生成密钥库和修改启动文件。无论是那种方式都需要删去原有的文件cobaltstrike.store

1.3.1 方法一生成证书

1. 删除密钥库文件cobaltstrike.store

2. 使用命令keytool -keystore ./cobaltstrike.store -storepass 123456 -keypass 123456 -genkey -keyalg RSA -alias baidu -dname "CN=baidu.com, OU=service operation department, O=Beijing Baidu Netcom Science Technology Co., Ltd, L=beijing, S=beijing, C=CN"可以生成新的密钥库文件

3. 使用命令keytool -list -keystore cobaltstrike.store 查看证书

-w681

 

4. 启动服务器查看证书签名是否相同。

-w695

 

1.3.2 方法二修改文件

teamserver 是启动cs服务端的启动文件。里面有环境检测的部分,其中就包括密钥库的检测,这部分的写法是,如检测不到密钥库就使用命令生成新的密钥库,修改这里生成命令。

-w690

 

将其改为keytool -keystore ./cobaltstrike.store -storepass 123456 -keypass 123456 -genkey -keyalg RSA -alias baidu.com -dname "CN=baidu.com, OU=service operation department, O=Beijing Baidu Netcom Science Technology Co., Ltd, L=Beijing, S=Beijing, C=CN"
删除原有的./cobaltstrike.store密钥库文件,下次启动时会自动生成新的密钥库文件。
这个密钥库也可以使用下面通过cloudflare申请的密钥库代理。

二、使用CDN隐藏

cs生成的木马中会带有服务器的部分信息如IP、域名,使用cdn就可以很好的隐藏住这部分信息,并且在一定程度上可以规避杀毒软件的主机特征查杀。并且在其他大佬的文章中看到https的监听方式中不会采用cobaltstrike.store的密钥库。所以这里申请一个证书代替https监听方式中的默认证书。

2.1 申请免费域名

使用免费域名的好处是不会有过多的信息记录下来。
访问https://www.freenom.com/zh/index.html注册,可以免费使用一年。具体注册疑问可以参考知乎文章 https://zhuanlan.zhihu.com/p/115535965

-w831

 

说点什么吧
  • 全部评论(0
    还没有评论,快来抢沙发吧!