其他
Fofa搜索Cobalt Strike的小技巧
语法1:文章来源:安全初心
header="HTTP/1.1 404 Not Found Content-Type: text/plain Date:"|| protocol="cobaltstrike"||cert="Serial Number: 146473198"
cobalt strike 是C/S架构的商业渗透软件,适合多人进行团队协作,可模拟APT做模拟对抗,进行内网渗透,是当前比较热门的一款C2软件,无论是红蓝对抗(HW),还是应急响应中,快速识别C2服务器是重要的工作之一,红队可以提前抹去特征,蓝队可以将此类服务器的IP作为IOC,并加入黑名单大礼包。
这里主要介绍以下三个特征:第一个利用的是Cobalt Strike 3.13之前版本默认的空格后门特征,第二个是fofa自带的协议识别(推测是teamserver默认证书关键字),第三个是利用cobalt strike的web的默认证书特征 最近爆出的另外一个特征,如何确认web是否为Cobalt Strike,可以请求/manager/text/list/这个路径,如果可以下载到x86的payload,就是Cobalt Strike的服务器。
链接:https://nosec.org/home/detail/4322.html
语法2:
试了一下,效果可以
(app="COBALTSTRIKE-团队服务器" || app="COBALTSTRIKE-beacon") && is_honeypot="false"
推荐:
1.关于Cobalt Strike检测方法与去特征的思考https://nosec.org/home/detail/4529.html2.CobaltStrike去除流量特征https://www.cnblogs.com/Zh1z3ven/p/14518441.html
免责声明
郑重声明:本号所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途,否则后果自行承担!
版权申明:内容来源网络,版权归原创者所有。除非无法确认,我们都会标明作者及出处,如有侵权烦请告知,我们会立即删除并表示歉意。祝愿每一位读者生活愉快!谢谢!
推荐阅读
*2021HW参考 | 前置知识:Web安全手册(漏洞理解、漏洞利用总结)
*Linux Shell 脚本的 10 个有用的“面试问题和解答”