Cobaltstrike去除特徵

Ms08067安全實驗室發表於2021-02-02

特徵

出品｜MS08067實驗室（www.ms08067.com)

本文作者：BlackCat（Ms08067實驗室內網小組成員）

前言：

紅藍對抗的時候，如果未修改CS特徵、容易被藍隊溯源。

去特徵的幾種方法：

1、更改預設埠

方法一、直接編輯teamserver進行啟動項修改。

vi teamserver

方法二、啟動時候指定server_port

java -XX:ParallelGCThreads=4 -Duser.language=en -Dcobaltstrike.server_port=50505 -Djavax.net.ssl.keyStore=./cobaltstrike.store -Djavax.net.ssl.keyStorePassword=123456 -server -XX:+AggressiveHeap -XX:+UseParallelGC -Xmx1024m -classpath ./cobaltstrike.jar server.TeamServer xxx.xxx.xx.xx test google.profile

2、去除證照特徵

（1）、進入CS目錄

檢視keytool -list -v -keystore cobaltstrike.store 證照情況，輸入預設密碼123456回車，可以看到所有者、釋出者中Cobalt Strike相關字樣。

然後修改 keytool
keytool是一個Java 資料證照的管理工具，使用如下：

-keytool -keystore cobaltstrike.store -storepass 密碼
-keypass 密碼
-genkey -keyalg RSA
-alias google.com -dname "CN=(名字與姓氏),
OU=(組織單位名稱), O=(組織名稱),
L=(城市或區域名稱),
ST=(州或省份名稱),
C=(單位的兩字母國家程式碼)。

keytool -keystore cobaltstrike.store -storepass 123456 -keypass 123456 -genkey -keyalg RSA -alias taobao.com -dname "CN=US, OU=”taobao.com“, O=“Sofatest”, L=Beijing, ST=Cyberspace, C=CN"

然後在觀測keytool。

這時發現所以關於cobaltstrike的字眼都被替換掉了。

3、繞過流量審計

（1）高信譽服務偽造

傳輸過程中，把流量偽造成高信譽的網站，比如Google 、bing等。

現在的大多數硬體WAF防護裝置都能檢測出來Cs的流量特徵，所以我們必須要修改CS的流量特徵，CS的流量由malleable C2配置來掌控的，所以我們需要定向去配置這個C2。
Malleable C2 是一種特定領域的語言，主要用來控制“Cobalt Strike Beacon”攻擊載荷中的網路指標。

malleable C2詳細知識參考：
https://bluescreenofjeff.com/2017-01-24-how-to-write-malleable-c2-profiles-for-cobalt-strike/
去配置之前先了解下有關Beacon的通訊基礎：

從Cobalt Strike 3.6版開始，可以將HTTP動詞從POST更改為GET。Beacon忽略了此POST請求（配置檔案中的http-post伺服器）的響應。預設情況下，Beacon將HTTP POST請求用於上述步驟＃3和＃4。根據您的目標環境或您正在模擬的流量，可能會注意到交替的GET和POST請求。在這種情況下，請將http-post部分的動詞設定為GET。

Beacon與teamserver端c2的通訊邏輯：
1.stager的beacon會先下載完整的payload執行
2.beacon進入睡眠狀態，結束睡眠狀態後用 http-get方式傳送一個metadata(具體傳送細節可以在malleable_profie檔案裡的http-get模組進行自定義),metadata內容大概是目標系統的版本，當前使用者等資訊給teamserver端。如圖的 1）
3.如果存在待執行的任務，則teamserver上的c2會響應這個metadata釋出命令。beacon將會收到具體會話內容與一個任務id。
4.執行完畢後beacon將回顯資料與任務id用post方式傳送回team server端的C2(細節可以在malleable_profile檔案中的http-post部分進行自定義)，然後又會回到睡眠狀態。

參考資料:https://www.chabug.org/web/832.html

許多 Beacon 指標由一個 C2 擴充檔案控制。一個 C2 擴充檔案由設定和資料轉換組成。資料轉換是一個簡單的程式，它指定如何轉換資料並將其儲存在事務中。轉換和儲存資料的同一程式，向後解釋，還從事務中提取和恢復資料。

配置檔案語言：
建立配置檔案的最佳方法是修改現有的配置檔案。
Malleable配置檔案下載：
git clone https://github.com/rsmudge/Malleable-C2-Profiles.git

CS中整合了一個包含在Linux平臺下的C2lint工具，下面是檢測這段程式碼是否存在問題：
CD CobaltStrike
chmod 777 c2lint
./c2lint [/path/to/my.profile] #這個路徑是Malleable的配置檔案路徑
./c2lint /Users/blackcat/Desktop/資源/CS學習/Malleable-C2-Profiles/APT/havex.profile

綠色為執行成功，黃色的為警告，紅色的error為執行失敗。
這裡是執行成功；

然後我們要修改裡面的引數思路就是，預設值堅決不使用，具體如下：
set sample_name "AL"; #配置檔名稱：
set sleeptime "50000"; #設定sleep時間，單位是毫秒
set useragent "Mozilla/5.0 (Windows; U; MSIE 7.0; Windows NT 5.2) Java/1.5.0_08"; #這個一般結合實戰環境去配置，從目標機構中捕獲一個真實的user-agent值並且插入到真實的流量中。

例如，可以向目標機構成員傳送一封帶有web漏洞的電子郵件並監視後續GET請求中傳送的user-agent值。如果你使用的是明文的HTTP流量或者是目標環境中存在SSL攔截，那麼與環境不匹配的User-Agent值就會被防禦者發現。
再往下的程式碼是http部分。
這裡分塊來說明下。
http-get模組：

如上圖所示。設定了victim的beacon傳送給c2的metadata的相關配置。

1.在client部分中，先設定了多個http header頭，然後在uri中儲存一個引數。把Referer偽造成Google
2.然後又設定了在metadata資料在傳輸的時候，先base64加密然後將所有的值填寫在Cookie欄位中。
3.在server部分，先設定多個header頭。然後更改相應內容然後base64編碼，然後把資料放在在body裡。

http-post模組：

先說下Clinet模組：
這裡面的id代表的是task id，任務執行後，beacon需要利用post方式來與c2進行通訊，需要傳送一個唯一的task id值，還需要傳送回顯。例如ipconfig命令，就會傳送命令的結果等。上面的header頭就跟之前的header頭的用途一致。
client中的output代表的是客戶端傳送給服務端的響應用什麼形式傳送，
server部分跟client比較類似所以不做太多講述。

此處可以通過定製C2的配置，使得C2的流量混合在目標環境流量中，偽裝為正常應用流量，達到欺騙的作用。
我這裡偽造的是Google的流量，

然後執行這個C2配置檔案：
服務端：
sudo ./teamserver 192.168.1.55 Malleable-C2-Profiles/APT/havex.profile
客戶端：
./start.sh

然後連線後，點選 Cobalt Strike -- Listeners建立一個監聽模組。然後通過這個監聽模組建立一個後門檔案，然後去上線一臺機器。

我這裡靶機地址：192.168.93.128
然後點選 Attacks-- packages -- Windows Executable

生成一個 Windows後門可執行檔案EXE。

然後把這個後門放到靶機裡使其上線。

然後；
開啟 wireshark，然後開啟抓包
這裡要做下篩選：
http and tcp.port == 80 #我這裡CS監聽埠是80 可以根據自己需求定製

然後進入到被控機的beacon模式下。
執行命令 shell dir

然後發現已經抓取到包，檢視下包的內容。
右鍵選定 --- follow --- TCP Tream

此時發現Referer為Google 證明實驗成功，成功偽造流量。

下面的是基於JQuery的配置檔案作為基礎配
下載：
git clone https://github.com/threatexpress/malleable-c2.git
然後執行語法：
./c2lint [/path/to/my.profile] #這個路徑是Malleable的配置檔案路徑
我這裡用的是CS4.0，所以選用這個profile

然後配置檔案資訊
參考前面的配置檔名稱，sleep時間、使用者代理，同上 user-agent還是使用目標機的真實的user-agent值。

SSL證照設定：
此設定控制用於HTTPS通訊的SSL證照。如果可能的話，請為你正在使用的域使用真實的，正確釋出的SSL證照。LetsEncrypt可以釋出所有主要作業系統和瀏覽器都信任的免費SSL證照，並且會讓防禦者更難以檢查Beacon流量。

SpawnTo 過程：
spawnto設定控制beacon生成的程式以便後滲透利用工作，以及何時使用spawn命令。該命令也可以使用命令列引數。
set %windir%\sysnative\svchost.exe -k localservice -p -s fdPHost

svchost.exe是微軟Windows作業系統中的系統檔案，微軟官方對它的解釋是：svchost.exe 是從動態連結庫 (DLL) 中執行的服務的通用主機程式名稱。這個程式對系統的正常執行是非常重要，而且是不能被結束的。許多服務通過注入到該程式中啟動，所以會有多個該檔案的程式。

如果防禦者檢視正在執行程式的命令列，額外的引數可以幫助Beacon進一步混淆。但是很難找到與spawnto一起使用的最合適的選項。選擇前要進行實驗和測試。

SMB 信標：
SMB 信標使用命名管道通過父信標進行通訊。這允許在同一主機或網路上的信標之間進行點對點通訊。可以配置SMB 信標的管道名稱。不要使用預設設定，因為一些防禦性產品會查詢這些預設設定。選擇能夠混合到目標環境的內容。
關於SMB信標的更多能容，請訪問：
https://www.cobaltstrike.com/help-smb-beacon

DNS信標
DNS信標使用DNS進行全部或部分通訊。根據目標環境的防禦技術，DNS流量很容易就能被檢測到，但通常是防禦者的盲點。DNS最適合用作低速和慢速備份通道。更改預設設定以更好地適應你遇到的環境。

有關DNS信標的更多資訊，請訪問如下連結：
https://www.cobaltstrike.com/help-dns-beacon

分段過程（staging process）
可以自定義信標分段過程。分段過程是用於完全載入信標的程式碼存根。
瞭解有關Beacon分段過程的更多資訊，請閱讀這篇文章：
https://blog.cobaltstrike.com/2013/06/28/staged-payloads-what-pen-testers-should-know/
幸運的是，可以修改Beacon stager的HTTP特性。更改這些設定以模仿單個合法的HTTP請求/響應。

在此示例中，請求將傳送到
/jquery-3.3.1.slim.min.js
或/jquery-3.3.2.slim.min.js
（取決於目標程式體系結構），以開始分段過程。構建HTTP伺服器引數以模仿jQuery請求。Beacon命令和payload被混合到jQuery javascript文字塊中。從CDN請求jQuery時，客戶端發出一個合理的請求。

很多網站發出請求的實現方式如下：

在某些情況下，使用stageless payload可能更好，因為分段過程可能會觸發防禦產品的報警。

記憶體指示器
一些最新的Malleable C2功能可以修改許多Beacon記憶體指示器。
有關控制Beacon記憶體指示器的詳細資訊，請參閱下面連結：
https://blog.cobaltstrike.com/2018/02/08/in-memory-evasion
https://www.youtube.com/playlist?list=PL9HO6M_MU2nc5Q31qd2CwpZ8J4KFMhgnK

此示例使用peclone工具從explorer.exe中提取記憶體後設資料，另存為Beaconpayload的一部分，並且採用了Raphael釋出的一篇部落格“In-Memory Evasion”中的一些建議。