【奇技淫巧】教你零成本拥有高匿C2
2022-10-24 17:32:0 Author: 戟星安全实验室(查看原文) 阅读量:25 收藏

戟星安全实验室

    忆享科技旗下高端的网络安全攻防服务团队.安服内容包括渗透测试、代码审计、应急响应、漏洞研究、威胁情报、安全运维、攻防演练等

本文约2225字,阅读约需6分钟。

前言

在实际攻防演练中,有不少师傅因为域名的DNS痕迹亦或者暴露了真实IP被蓝队反制,又或者因为拿下了终端却又被流量设备检测到被一脚踢出去的情况,本篇文章就谈谈如何零成本针对以上情况进行有效的防范。

匿名域名注册网站

首先咱们访问Freenom.com,注册一个账户。

这里要特别注意几个点

  • 注册时的邮箱必须为国际邮箱

  •  注册的个人信息最好与IP对应,比如你的IP为香港,那你的个人信息最好与一个香港人的资料相似,特别是国家地区选项别乱填,一定要与你当前的ip对应

个人信息生成器 

https://www.shenfendaquan.com/

注册好以后就可以申请新域名了

选择你想要的域名,进行Check检查,并注册

这里选择12个月

出现以下订单确认就代表成功了

添加一个A记录,指向你的IP,大概几分钟后就会生效,当然后续我们会做CDN保护,这个地方可以不用直接添加DNS记录

HTTPS证书acme.sh

防守方往往会有很多的设备审计流量。Cobalt Strike服务端和客户端是通过SSL加密通讯的(默认证书对cobaltstrike.store),默认情况下的SSL配置文件和代理配置文件导致keystore文件内容被用于防火墙识别及特征识别。并且默认配置的SSL证书对不是合法的无法使用HTTPS Beacon,实则HTTPS Beacon的流量还是明文的传输的

接下来我们就用acme.sh来申请免费zerossl证书,并运用到Cobalte Strike上。

安装acme.sh

curl https://get.acme.sh | sh

头一次使用需要注册

acme.sh --register-account  -m [email protected] --server zerossl

然后申请证书

acme.sh --issue -d 域名--webroot /usr/share/nginx/html

申请成功后证书后会自动保存到以下路径

如果出现 Usage: _hmac hashalg secret [outputhex] 报错,升级一下OpenSSL版本就OK了。参考以下文章https://cloud.tencent.com/developer/article/1986109使用openssl将pem证书和key私钥导出为P12格式的证书openssl pkcs12-export -in 证书 -inkey 私钥 -out p12文件 -name 域名 -passoutpass:密码openssl pkcs12-export -in full_chain.pem -inkey private.key -out 域名.p12 -name 域名 -passout pass:test使用keytool生成cs可用的store格式的证书对keytool -importkeystore -deststorepass pass-destkeypass pass -destkeystore store文件 -srckeystoreP12格式证书 -srcstoretype PKCS12 -srcstorepass pass -alias 域名

Profile修改

接下来就是配置CS Profile文件,至于profile流量伪装,为了以防有能抓取证书解密SSL加密内容的设备,我们还是可以在SSL加密后的情况再进行一次流量伪装

至于如何配置大家可以看看

https://github.com/rsmudge/Malleable-C2-Profiles/tree/master/APT

这个项目,或者直接套用这个项目的Profile模板进行小幅度修改

我们这里先做对应的Profile证书配置

C2lint 检测配置是否有错误

然后更改teamserver文件,老套路将stroe和密码写进去,这里也可以更改默认端口

./teamserver ip password profile ##启动访问看看配置是否生效

Cloudflare CDN保护

访问 cloudflare.com 自行注册后,点击Add Site

点击下一步,输入域名后来到Review DNS records,在下方填写要保护的ip,以及A记录

来到Change your nameserver这步,咱们需要copy下方Cloudflare的nameserver去freenom填写

来到freenom填写nameserver


填写好后,等待生效金即可,出现绿标即代表生效

使用17CE看看,可以看到已生效

最终效果测试

下图为咱们配置好的加固的HTTPS Beacon

下图为只配置了Profile,未作其他加固的Http Beacon

由两张图对比可见,加固后的https Beacon回连IP均为为CDN地址,报文被SSL加密,就算某产品能提取证书密钥并成功解密,也还有Profile流量混淆,并且域名也不可溯。

往期回顾

声明

    由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,戟星安全实验室及文章作者不为此承担任何责任。

    戟星安全实验室拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经戟星安全实验室允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。

戟星安全实验室

# 长按二维码 || 点击下方名片 关注我们 #


文章来源: http://mp.weixin.qq.com/s?__biz=MzkzMDMwNzk2Ng==&mid=2247503963&idx=1&sn=e9d64d6d719ec2305d1b8e5574896c08&chksm=c27eda4af509535cd4ccb6c0f718e6a48705d68abbd540689d205f690875da6f06a319f3d57e#rd
如有侵权请联系:admin#unsafe.sh