戟星安全实验室
本文约2225字,阅读约需6分钟。
前言
在实际攻防演练中,有不少师傅因为域名的DNS痕迹亦或者暴露了真实IP被蓝队反制,又或者因为拿下了终端却又被流量设备检测到被一脚踢出去的情况,本篇文章就谈谈如何零成本针对以上情况进行有效的防范。
匿名域名注册网站
首先咱们访问Freenom.com,注册一个账户。
这里要特别注意几个点
注册时的邮箱必须为国际邮箱
注册的个人信息最好与IP对应,比如你的IP为香港,那你的个人信息最好与一个香港人的资料相似,特别是国家地区选项别乱填,一定要与你当前的ip对应
个人信息生成器
https://www.shenfendaquan.com/
选择你想要的域名,进行Check检查,并注册
这里选择12个月
出现以下订单确认就代表成功了
添加一个A记录,指向你的IP,大概几分钟后就会生效,当然后续我们会做CDN保护,这个地方可以不用直接添加DNS记录
HTTPS证书acme.sh
防守方往往会有很多的设备审计流量。Cobalt Strike服务端和客户端是通过SSL加密通讯的(默认证书对cobaltstrike.store),默认情况下的SSL配置文件和代理配置文件导致keystore文件内容被用于防火墙识别及特征识别。并且默认配置的SSL证书对不是合法的无法使用HTTPS Beacon,实则HTTPS Beacon的流量还是明文的传输的
接下来我们就用acme.sh来申请免费zerossl证书,并运用到Cobalte Strike上。
安装acme.sh
curl https://get.acme.sh | sh
头一次使用需要注册
acme.sh --register-account -m [email protected] --server zerossl
然后申请证书
acme.sh --issue -d 域名--webroot /usr/share/nginx/html
申请成功后证书后会自动保存到以下路径
如果出现 Usage: _hmac hashalg secret [outputhex] 报错,升级一下OpenSSL版本就OK了。
参考以下文章
https://cloud.tencent.com/developer/article/1986109
使用openssl将pem证书和key私钥导出为P12格式的证书
openssl pkcs12
-export -in 证书 -inkey 私钥 -out p12文件 -name 域名 -passout
pass:密码
openssl pkcs12
-export -in full_chain.pem -inkey private.key -out 域名.p12 -name 域名 -passout pass:test
使用keytool生成cs可用的store格式的证书对
keytool -importkeystore -deststorepass pass
-destkeypass pass -destkeystore store文件 -srckeystore
P12格式证书 -srcstoretype PKCS12 -srcstorepass pass -alias 域名
Profile修改
接下来就是配置CS Profile文件,至于profile流量伪装,为了以防有能抓取证书解密SSL加密内容的设备,我们还是可以在SSL加密后的情况再进行一次流量伪装
至于如何配置大家可以看看
https://github.com/rsmudge/Malleable-C2-Profiles/tree/master/APT
这个项目,或者直接套用这个项目的Profile模板进行小幅度修改
我们这里先做对应的Profile证书配置
C2lint 检测配置是否有错误
然后更改teamserver文件,老套路将stroe和密码写进去,这里也可以更改默认端口
./teamserver ip password profile ##启动访问看看配置是否生效
Cloudflare CDN保护
访问 cloudflare.com 自行注册后,点击Add Site
点击下一步,输入域名后来到Review DNS records,在下方填写要保护的ip,以及A记录
来到Change your nameserver这步,咱们需要copy下方Cloudflare的nameserver去freenom填写
来到freenom填写nameserver
填写好后,等待生效金即可,出现绿标即代表生效
使用17CE看看,可以看到已生效
最终效果测试
下图为只配置了Profile,未作其他加固的Http Beacon
由两张图对比可见,加固后的https Beacon回连IP均为为CDN地址,报文被SSL加密,就算某产品能提取证书密钥并成功解密,也还有Profile流量混淆,并且域名也不可溯。
往期回顾
声明
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,戟星安全实验室及文章作者不为此承担任何责任。
戟星安全实验室拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经戟星安全实验室允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。
戟星安全实验室
# 长按二维码 || 点击下方名片 关注我们 #