• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

  • Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Как юзать Artifact KIT?

stepapwnz

Member
15.12.2020
24
0
BIT
0
Интересует смена сертификата SSL, подмена заголовков http при общении бекона и сервера.
Так же что и как писать в самом Artifact Kit для обхода АВ.
Кто нибудь разобрался?
 

Pernat1y

Red Team
05.04.2018
1 443
135
BIT
0
Интересует смена сертификата SSL, подмена заголовков http при общении бекона и сервера.
Читай доку по Malleable
Код:
https-certificate {
    set CN       "gmail.com";
    set O        "Google GMail";
    set C        "US";
    set L        "Mountain View";
    set OU       "Google Mail";
    set ST       "CA";
    set validity "365";
}

Так же что и как писать в самом Artifact Kit для обхода АВ.
Никто тебе не будет такое палить.
 
Последнее редактирование:

ZIZa

Red Team
29.01.2018
286
249
BIT
1
Читай доку по Malleable

Никто тебе не будет такое палить.
Вы почти воспроизвели мой личный ответ )
1608158108345.png
 

stepapwnz

Member
15.12.2020
24
0
BIT
0
Malleable это отдельный профиль, его нужно отдельно тянуть с гитхаба и включать вместе с тим сервером?
 

stepapwnz

Member
15.12.2020
24
0
BIT
0
Да, профили есть на гитхабе - rsmudge/Malleable-C2-Profiles
Дока на сайте -
То есть тупо скачать профиль и при запуске тимсервера указать его название и все? Мои биконы будут имитировать работу сайта который указан, например профиль под Амазон и другие. Так чтоль?

Прилепил профиль, он ругается на невалидный сертификат и отправляет
сюда

Как прикрутить валидный сертификат?(
 

ZIZa

Red Team
29.01.2018
286
249
BIT
1
Посмотрите вы уже видео инструкции и , нечего другого на эту тему не скажем.
Переведённый pdf мануал 4.0
Видео мануалы с субтитрами
Оф pdf мануал для 4.1 :
 

Вложения

  • Cobalt Strike 4.1 manual.pdf
    8 МБ · Просмотры: 493

stepapwnz

Member
15.12.2020
24
0
BIT
0
Я смотрел все эти видео, мне не понятно как я должен прикрутить сертификат.
Я скачал вот такой профиль mhaskar/MalleableC2-Profiles
при запуске он пишет ошибку SSL сертификата.
В коде есть запись
# HTTPS certficate details

https-certificate {
set keystore "";
set password "";
}
Где вообще берется SSL сертификат? Просто у регистраторов домена? Он будет нужного вида для кобальта?

Посмотрите вы уже видео инструкции и , нечего другого на эту тему не скажем.
Переведённый pdf мануал 4.0
Видео мануалы с субтитрами
Оф pdf мануал для 4.1 :
первые два видео про домен фронтинг, мне до этого еще нужно дойти, пока я хочу разобраться с сертификатом SSL.
 
Последнее редактирование:

Pernat1y

Red Team
05.04.2018
1 443
135
BIT
0
Где вообще берется SSL сертификат? Просто у регистраторов домена? Он будет нужного вида для кобальта?
А тебе точно нужен кобальт с такими вопросами?
Бесплатный серт можно получить на тех-же или
 

stepapwnz

Member
15.12.2020
24
0
BIT
0
А тебе точно нужен кобальт с такими вопросами?
Бесплатный серт можно получить на тех-же или
хочу щелкать сетки как орешки, конечно нужен.
ты сам прикручивал сертификат к кобальту?
 

ZIZa

Red Team
29.01.2018
286
249
BIT
1
Код:
keytool -keystore ./имя.store -storepass пароль -keypass пароль -genkey -keyalg RSA -keysize 2048 или 4096 -validity в днях -alias server -dname "CN=none, OU=none, O=none, L=none, S=none, C=NO"
keytool -genkey -keystore имя.jks -alias server -keyalg RSA -validity в днях -keysize 2048 или 4096
keytool -certreq -alias server -keystore имя.jks -file имя.csr
потом в профиле
Код:
https-certificate {
    set keystore "имя.store";
    set password "пароль";
}

https-certificate {
    set C "NO";
    set CN "none";
    set L "none";
    set O "noe";
    set OU "none";
    set ST "NO";
    set validity "в днях";
}

code-signer {
    set keystore "имя.jks";
    set password "пароль";
    set alias "server";
}
В каком то из видео это точно было (на канале), мне просто лень искать точный момент. И уж точно было в доках/ мануале.
Пункт 11.7 В мануале 4.0 и 4.1
1608298171446.png и далее.
Больше я отвечать на вопросы (ответы на которых есть в доках) уж извините не буду. Я ведь не зря просил / предлагал пройтись по всем ресурсам.
 
Последнее редактирование:

wooolff

Green Team
19.02.2017
233
36
BIT
0
Вы узнайте для чего человеку сертификат. Человек думает что АВ палит из за сертификата)))) типо заменит сертификат и каким то образом сам пейлоад станет чистым))))
 

stepapwnz

Member
15.12.2020
24
0
BIT
0
Вы узнайте для чего человеку сертификат. Человек думает что АВ палит из за сертификата)))) типо заменит сертификат и каким то образом сам пейлоад станет чистым))))
Не только из-за этого, но это самый палевный детект, у всех серверов обычные сертификаты и они внесены во все базы АВ. Глупо криптовать файл за сто баксов, не меняя сертификат, как делал ты.
 

Pernat1y

Red Team
05.04.2018
1 443
135
BIT
0
Не только из-за этого, но это самый палевный детект, у всех серверов обычные сертификаты и они внесены во все базы АВ. Глупо криптовать файл за сто баксов, не меняя сертификат, как делал ты.
Сертификат не хранится в беконе, поэтому на детект он не может влиять.
Разве-что у них какой-то дофига навороченный NIDS.

До крипта:
После крипта:

Windows Defender на W10 H2 тоже не палит. Отстук есть.
 

stepapwnz

Member
15.12.2020
24
0
BIT
0
А потом его нужно чистить с помощью Aftifact Kit, но это тебе лучше знать.
Сертификат не хранится в беконе, поэтому на детект он не может влиять.
Разве-что у них какой-то дофига навороченный NIDS.
Правильно, он не в клиенте, он тянется с сервера и палится, как и метасплоитовский https митерпритер.
 

stepapwnz

Member
15.12.2020
24
0
BIT
0
И как долго твой бикон живет после такого крипта?
Сертификат не хранится в беконе, поэтому на детект он не может влиять.
Разве-что у них какой-то дофига навороченный NIDS.

До крипта:
После крипта:

Windows Defender на W10 H2 тоже не палит. Отстук есть.
 

stepapwnz

Member
15.12.2020
24
0
BIT
0
Тут нужен комплексный подход ведь.
Поменять заголовки, поменять SSL, что-то неведомое сотворить с Artifact Kit, криптануть бикона и тогда уже наверное стоит переходить с рассылкам.
Я когда криптовал бикона, он обходил АВ и запускался, но жил либо до первого действия с командным серверов либо очень недолго.
 

stepapwnz

Member
15.12.2020
24
0
BIT
0
Или вы что запускаете его руками, обходя АВ вручную на дедиках каких-то? И нахрена тогда он нужен? Для удобства дампа хешей для pass the hash?
 

Pernat1y

Red Team
05.04.2018
1 443
135
BIT
0
А потом его нужно чистить с помощью Aftifact Kit, но это тебе лучше знать.
Да, чистить лучше Артифактом. А уже потом накрыть криптом.

Правильно, он не в клиенте, он тянется с сервера и палится, как и метасплоитовский https митерпритер.
Не может оно палить пустой сертификат, типа того, что писали выше:
Код:
https-certificate {
    set C "NO";
    set CN "none";
    set L "none";
    set O "noe";
    set OU "none";
    set ST "NO";
    set validity "3600";
}

И как долго твой бикон живет после такого крипта?
Достаточно, особенно если сразу свалить в другой процесс.

Люди неделями сидят в сетке, используя CS, как им это удается? Простым криптом?
Это уже от защиты хостов зависит, скорее.

Или вы что запускаете его руками, обходя АВ вручную на дедиках каких-то? И нахрена тогда он нужен? Для удобства дампа хешей для pass the hash?
Что значит "обходя АВ вручную"? Нет, я их предварительно не отключаю :)
 
Последнее редактирование:
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!