Как юзать Artifact KIT?

[stepapwnz]

Интересует смена сертификата SSL, подмена заголовков http при общении бекона и сервера.
Так же что и как писать в самом Artifact Kit для обхода АВ.
Кто нибудь разобрался?

 

[Pernat1y]

Интересует смена сертификата SSL, подмена заголовков http при общении бекона и сервера.

Читай доку по Malleable

https-certificate {
    set CN       "gmail.com";
    set O        "Google GMail";
    set C        "US";
    set L        "Mountain View";
    set OU       "Google Mail";
    set ST       "CA";
    set validity "365";
}

Так же что и как писать в самом Artifact Kit для обхода АВ.

Никто тебе не будет такое палить.

 

[ZIZa]

Читай доку по Malleable

Никто тебе не будет такое палить.

Вы почти воспроизвели мой личный ответ )

 

[stepapwnz]

Malleable это отдельный профиль, его нужно отдельно тянуть с гитхаба и включать вместе с тим сервером?

 

[Pernat1y]

Malleable это отдельный профиль, его нужно отдельно тянуть с гитхаба и включать вместе с тим сервером?

Да, профили есть на гитхабе - rsmudge/Malleable-C2-Profiles
Дока на сайте -

Ссылка скрыта от гостей

 

[stepapwnz]

Да, профили есть на гитхабе - rsmudge/Malleable-C2-Profiles
Дока на сайте -

Ссылка скрыта от гостей

То есть тупо скачать профиль и при запуске тимсервера указать его название и все? Мои биконы будут имитировать работу сайта который указан, например профиль под Амазон и другие. Так чтоль?

Прилепил профиль, он ругается на невалидный сертификат и отправляет

Ссылка скрыта от гостей

сюда

Как прикрутить валидный сертификат?(

 

[ZIZa]

Посмотрите вы уже видео инструкции и

Ссылка скрыта от гостей

, нечего другого на эту тему не скажем.

Переведённый pdf мануал 4.0
Видео мануалы с субтитрами
Оф pdf мануал для 4.1 :

 

[stepapwnz]

Я смотрел все эти видео, мне не понятно как я должен прикрутить сертификат.
Я скачал вот такой профиль mhaskar/MalleableC2-Profiles
при запуске он пишет ошибку SSL сертификата.
В коде есть запись
# HTTPS certficate details

https-certificate {
set keystore "";
set password "";
}
Где вообще берется SSL сертификат? Просто у регистраторов домена? Он будет нужного вида для кобальта?

Посмотрите вы уже видео инструкции и

Ссылка скрыта от гостей

, нечего другого на эту тему не скажем.

Переведённый pdf мануал 4.0
Видео мануалы с субтитрами
Оф pdf мануал для 4.1 :

первые два видео про домен фронтинг, мне до этого еще нужно дойти, пока я хочу разобраться с сертификатом SSL.

 

[Pernat1y]

Где вообще берется SSL сертификат? Просто у регистраторов домена? Он будет нужного вида для кобальта?

А тебе точно нужен кобальт с такими вопросами?
Бесплатный серт можно получить на тех-же

Ссылка скрыта от гостей

или

Ссылка скрыта от гостей

 

[stepapwnz]

А тебе точно нужен кобальт с такими вопросами?
Бесплатный серт можно получить на тех-же

Ссылка скрыта от гостей

или

Ссылка скрыта от гостей

хочу щелкать сетки как орешки, конечно нужен.
ты сам прикручивал сертификат к кобальту?

 

[ZIZa]

keytool -keystore ./имя.store -storepass пароль -keypass пароль -genkey -keyalg RSA -keysize 2048 или 4096 -validity в днях -alias server -dname "CN=none, OU=none, O=none, L=none, S=none, C=NO"
keytool -genkey -keystore имя.jks -alias server -keyalg RSA -validity в днях -keysize 2048 или 4096
keytool -certreq -alias server -keystore имя.jks -file имя.csr

потом в профиле

https-certificate {
    set keystore "имя.store";
    set password "пароль";
}

https-certificate {
    set C "NO";
    set CN "none";
    set L "none";
    set O "noe";
    set OU "none";
    set ST "NO";
    set validity "в днях";
}

code-signer {
    set keystore "имя.jks";
    set password "пароль";
    set alias "server";
}

В каком то из видео это точно было (на канале), мне просто лень искать точный момент. И уж точно было в доках/ мануале.
Пункт 11.7 В мануале 4.0 и 4.1
и далее.
Больше я отвечать на вопросы (ответы на которых есть в доках) уж извините не буду. Я ведь не зря просил / предлагал пройтись по всем ресурсам.

 

[wooolff]

Вы узнайте для чего человеку сертификат. Человек думает что АВ палит из за сертификата)))) типо заменит сертификат и каким то образом сам пейлоад станет чистым))))

 

[stepapwnz]

Вы узнайте для чего человеку сертификат. Человек думает что АВ палит из за сертификата)))) типо заменит сертификат и каким то образом сам пейлоад станет чистым))))

Не только из-за этого, но это самый палевный детект, у всех серверов обычные сертификаты и они внесены во все базы АВ. Глупо криптовать файл за сто баксов, не меняя сертификат, как делал ты.

 

[Pernat1y]

Не только из-за этого, но это самый палевный детект, у всех серверов обычные сертификаты и они внесены во все базы АВ. Глупо криптовать файл за сто баксов, не меняя сертификат, как делал ты.

Сертификат не хранится в беконе, поэтому на детект он не может влиять.
Разве-что у них какой-то дофига навороченный NIDS.

До крипта:

Ссылка скрыта от гостей

После крипта:

Ссылка скрыта от гостей

Windows Defender на W10 H2 тоже не палит. Отстук есть.

 

[stepapwnz]

А потом его нужно чистить с помощью Aftifact Kit, но это тебе лучше знать.

Сертификат не хранится в беконе, поэтому на детект он не может влиять.
Разве-что у них какой-то дофига навороченный NIDS.

Правильно, он не в клиенте, он тянется с сервера и палится, как и метасплоитовский https митерпритер.

 

[stepapwnz]

И как долго твой бикон живет после такого крипта?

Сертификат не хранится в беконе, поэтому на детект он не может влиять.
Разве-что у них какой-то дофига навороченный NIDS.

До крипта:

Ссылка скрыта от гостей

После крипта:

Ссылка скрыта от гостей

Windows Defender на W10 H2 тоже не палит. Отстук есть.

 

[stepapwnz]

Люди неделями сидят в сетке, используя CS, как им это удается? Простым криптом?

 

[stepapwnz]

Тут нужен комплексный подход ведь.
Поменять заголовки, поменять SSL, что-то неведомое сотворить с Artifact Kit, криптануть бикона и тогда уже наверное стоит переходить с рассылкам.
Я когда криптовал бикона, он обходил АВ и запускался, но жил либо до первого действия с командным серверов либо очень недолго.

 

[stepapwnz]

Или вы что запускаете его руками, обходя АВ вручную на дедиках каких-то? И нахрена тогда он нужен? Для удобства дампа хешей для pass the hash?

 

[Pernat1y]

А потом его нужно чистить с помощью Aftifact Kit, но это тебе лучше знать.

Да, чистить лучше Артифактом. А уже потом накрыть криптом.

Правильно, он не в клиенте, он тянется с сервера и палится, как и метасплоитовский https митерпритер.

Не может оно палить пустой сертификат, типа того, что писали выше:

https-certificate {
    set C "NO";
    set CN "none";
    set L "none";
    set O "noe";
    set OU "none";
    set ST "NO";
    set validity "3600";
}

И как долго твой бикон живет после такого крипта?

Достаточно, особенно если сразу свалить в другой процесс.

Люди неделями сидят в сетке, используя CS, как им это удается? Простым криптом?

Это уже от защиты хостов зависит, скорее.

Или вы что запускаете его руками, обходя АВ вручную на дедиках каких-то? И нахрена тогда он нужен? Для удобства дампа хешей для pass the hash?

Что значит "обходя АВ вручную"? Нет, я их предварительно не отключаю