Cobalt Strike的Malleable C2配置文件,被设计用来对抗流量分析。
Cobalt Strike的Malleable C2配置文件,定义了 victim 与 团队服务器 之间的C2通信流量的“通信格式规范和方式”。
通过将C2流量伪装成"正常流量"。以避免直接被NIDS、SOC系统识别为异常流量,可能迷惑安全运营人员。
具体说明
| Malleable C2 profile | cs version | 描述 |
|---|---|---|
| jquery.xxx.js_CN_cdn.bootcss.com_for_cs3.14_.txt | 3.12 3.14 | 伪装成正常HTTP流量: 浏览器与web服务器之间的流量. |
| jquery.xxx.js_code.bootcdn.net_for_cs4.0_.txt | 4.0 | 伪装成正常HTTP流量: 浏览器与web服务器之间的流量. |
建议自行修改 Malleable C2 profile.
AggressorScripts - 修改或扩展Cobalt Strike 3.* 的客户端功能(可实现自定义菜单创建,日志记录,权限维持等)。
更多参考官方介绍Aggressor Script Tutorial and Reference
具体说明
| filename | opsec | desc | demo |
|---|---|---|---|
| BeaconNote.cna | 1 | 某个Beacon首次上线时 设置这个Beacon的note为Beacon ID + 首次上线时间 |
bid: 86985 Established: 11/13/2019 16:50:19 (CST) |
| BeaconNotify.cna | 1 | 某个Beacon首次上线时 将这个Beacon的完整信息都发送到指定的Slack Channel 配置你的Slack webhooks | host/User/beaconID/os/ver/PID/external IP/internal IP... |
| LoopDo.cna | 0 | 每隔x分钟执行一次操作 | 按时执行 自定义cmd命令/屏幕截图/logonpasswords/... |
teamserver服务器日志 - 文件夹cobaltstrike/logs/{date}/{ip}
| Log Type | ext | location |
|---|---|---|
| Beacon命令行 所有内容 | .log | /cobaltstrike/logs/191107/10.10.13.19/becon_71256.log |
| 屏幕截图 | .jpg | /cobaltstrike/logs/191107/10.10.13.19/screenshots/screen_050658_87924.jpg |
| author/filename | opsec | desc | demo |
|---|---|---|---|
| Cobalt Strike ZeroLogon-BOF | ? | ZeroLogon CVE-2020-1472 | |
| outflanknl/Ps-Tools PS-Tools.cna | ? | 列出进程的详细信息 | 5种命令psx psk psc psm psh psw |
| https://github.com/rsmudge/ElevateKit | ? | 官方推荐 多个较新的提权漏洞exp. 版本要求: for Cobalt Strike 3.6 and later. |