隐匿自己的c2服务器(一)目录

  • 隐匿自己的c2服务器(一)
    • ?服务器设置
      • 安装java环境
      • 启动设置
      • 开启禁ping
    • ?微信机器人推送上线信息
    • ?️‍?端口特征修改
    • ?证书特征修改
    • ?流量特征修改
      • 利用cdn加速进行隐匿
        • 域名
        • cdn配置
        • 证书和密钥
        • 修改profile文件
        • 上线效果

?服务器设置安装java环境

yum install -y java-1.8.0-openjdk*

启动设置

遇到插件中中文乱码时,只需要更改启动的编码参数即可解决:

java  -Dfile.encoding=utf-8 -XX:ParallelGCThreads=4 -XX:+AggressiveHeap -XX:+UseParallelGC -Xms512M -Xmx1024M -jar cobaltstrike.jar

开启禁ping

vim /etc/sysctl.confnet.ipv4.icmp_echo_ignore_all = 1//添加这一行sysctl -p//保存之后刷新配置

?微信机器人推送上线信息

首先先注册好企业微信,不清楚百度上搜一下就好了,下载好这个插件:项目地址上传到服务器,然后在群聊中添加机器人

一路点过来到这里就得到了机器人的webhook地址了

然后开始修改下载好的文件,因为配置的是微信推送,所以在CS_bot.py这个文件里注释掉其他的不用项。然后注意这个py文件本来就有拼接url故需要将webhook里面key的部分(?key=之后的)提出来替换掉那个xxxx

然后编辑CS_bot.cna,划线的地方需要修改为自己放这个py文件的绝对路径。再编辑好之后先运行一下这个文件,缺什么包就用pip3下载好。

使用agscript在后台启动,注意这里的格式为 user那里不要和自己登录的用户名重复

nohup ./agscript      

最后的效果如下:

?️‍?端口特征修改

修改teamserver默认端口

其位于teamserver的最后一段,将-Dcobaltstrike.server_port=改为自己想设置的端口,

?证书特征修改

CobaltStrike的默认证书有三个:

  • cobaltstrike.store 证书:用于服务端和客户端加密通讯
  • proxy.store 证书:用于浏览器代理也就是browserpivot功能
  • ssl.store 证书:如果你没有配置https-certificate选项,并且使用的是https监听器那么CobaltStrike默认就会使用这个证书

其中cobaltstrike.store证书和ssl.store证书比较敏感,特征也早已被各大厂商标记,建议自己生成替代不要使用其默认证书。我们可以使用keytool来管理或生成证书。keytool是一个Java数据证书的管理工具 ,keytool将密钥(key)和证书(certificates)存在一个称为keystore的文件中(即.store后缀文件)

可以使用 keytool -h 查看帮助,这里简单例举一点,其他的有需要就百度

cs的原始证书特征很明显就不看了,我这把原先的证书删了,用Keytool来重新生成证书

keytool -keystore cobaltstrike.store -storepass 123456 -keypass 123456 -genkey -keyalg RSA -alias 别名 -dname "CN=(名字与姓氏), OU=(组织单位名称), O=(组织名称), L=(城市或区域名称), ST=(州或省份名称), C=(单位的两字母国家代码)"eg:keytool -keystore test.store -storepass 123456 -keypass 123456 -genkey -keyalg RSA -alias test.tk -dname "CN=Microsoft Windows, OU=MOPR, O=Microsoft Corporation, L=Redmond, ST=Washington, C=US"

查看一下生成的证书(密钥库密码默认为123456,密码取决于上面你改不改)

keytool -list -v -keystore 证书名.store

之后还要在teamsever里面修改一下keystore:

到这里简单的修改就完成了

?流量特征修改利用cdn加速进行隐匿域名

正常情况下,第一步我们要做的是先申请一个域名(这个域名的作用是用来配合 CDN 来隐藏我们的C2服务器),然后再申请一个CDN对我们所申请的域名进行加速,在这个过程中CDN会要求我们在域名的解析配置中设置相应的 CNAME。

  • 一句话核心原理:使用CDN内容分发网络的多节点分布式技术,通过“加速、代理、缓存”隐藏在后面的静态文件或服务;最终实现对外暴露的是CDN多节点的公网域名IP,很难甚至无法溯源真实后端服务器的域名或IP!

首先要做的就是申请一个域名,可以去下面这个外网的弄到免费域名https://www.freenom.com/zh/index.html?lang=zh。这里就细讲一下比较详细的过程:

没有账号不用管待会会有注册的,先搜索一个域名,最好就是搜全,加上.tk .ml之类的,否则有可能搜不到。

然后注册那里,我没截图但这里拿编辑页面来说。就是你的信息不能乱写,正确度不高的话是成功不了的,比如如果你是挂代理上来的,那就在编辑信息就得和你的IP所在地尽可能匹配。像我用的就是下面这个网站洛杉矶地址生成器 – 美国地址生成器 – 美国身份生成器 (meiguodizhi.com)来生成信息。

注册成功了就可以点上面横栏service里面查看。

cdn配置

cdn我用的是免费的Cloudflarehttps://www.cloudflare.com/zh-cn/。注册账号后登陆,选择免费计划然后添加刚刚弄到的欲与CS服务器绑定的域名

进入站点后,点击左侧的dns,查看Cloudflare的名称服务器,把这两个ns记录下

然后会带刚刚注册域名的网站,在service里面有管理页面,进来如下依次填入前面的两个ns记录。这样就可以将自己的域名的所有解析功能都托管在Cloudflare,这样Cloudflare可以提供CDN的解析功能了

然后接着就是添加两条记录,一个的名称@或者其他的也可以,一个为www。添加后保存

在页面规则这里也添加两条,一个的url为*.域名/*,一个为.域名/*。底下选缓存级别绕过

之后可以ping一下自己的域名,能ping通而底下的ip也已经不是我们服务器的ip了。

证书和密钥

这里的设置就是把下面的自动配置的功能都关了。

下面创建证书,如下图

很简单看图操作:

创建之后保存一下生成的密钥和证书

在服务器上加俩个文件分别为secret.key 和 cert.pem 来保存。使用以下命令生成 certout.p12 。再接着生成新的证书:

openssl pkcs12 -export -in 保存的源证书.pem -inkey 保存的私钥.key -out 输出的p12文件名(自定义).p12 -name 设置别名 -passout pass:设置密码keytool -importkeystore -deststorepass 设置密码 -destkeypass 设置密码 -destkeystore 设置证书文件名.store -srckeystore 上面自定义的p12文件.p12 -srcstoretype PKCS12 -srcstorepass 上面设置的密码 -alias 设置别名eg:openssl pkcs12 -export -in cert.pem -inkey secret.key -out certout.p12 -name cloudflare_cert -passout pass:753015keytool -importkeystore -deststorepass 753015 -destkeypass 753015 -destkeystore bk.store -srckeystore certout.p12 -srcstoretype PKCS12 -srcstorepass 753015 -alias cloudflare_cert

修改profile文件

然后就是修改以下profile文件,根据你自己的文件来改GitHub上有很多拿来改一下就可以用了。我这里就大概这样

最后检查一下域名能否正常使用,这个ip就是我们使用的Cloudflare的最近CDN节点的公网ip

上线效果

配置CS Listener,将高信誉域名填入HTTPS Hosts和HTTPS Host(Stager)中,将CS服务器域名填入HTTPS Host Header中

但是要注意:Cloudflare的代理模式只有部分端口能够使用,使用时要注意端口的设置,否则是监听不到的。(Cloudflare 支持的 HTTP 端口:80、8080、8880、2052、2082、2086、2095;Cloudflare 支持的 HTTPS 端口:443、2053、2083、2087、2096、8443)

还有因为我是使用的国内云主机,域名没有进行备案,所以没有办法使用80、8080、443、8443端口提供服务;这里就直接拿https的来了

上线之后等一会是可以看到,CS上显示该机器的外部ip为某云的ip,并且该ip是动态变化的。

查看受控主机本地回接C2服务器的ip地址已经是CDN节点IP,而不是我们自己服务器的真实ip

查一下这个IP可以看到来自cloudflare

至此就简单完成了,后面还会接着尝试其他方法来隐匿