赞
踩
1、被控端发送心跳包
被控端会向服务端发送心跳包。心跳包是一种延迟发送的数据包,默认间隔为60秒。这种设计的目的是为了迷惑防护软件。如果木马一直处于连接状态并持续传输数据,很容易被安全设备检测到。因此,CS可以通过设置心跳包的时间间隔,让木马在一段时间内不产生流量,处于睡眠状态。一旦有指令下达,木马就会通过间隔的时间传输数据并等待对方回应,相当于唤醒时间。这种心跳包的设计可以迷惑一些设备,防止设备捕获长时间在线的流量
2.服务端收到并记录被控端主机信息
如果心跳包不存在了,说明主机下线了,存在说明处于被控状态
3.再次发送心跳包询问是否有指令
服务端会再次向被控端发送心跳包以获取任务指令,例如执行什么命令
4.发送需要进行的操作指令
服务端会将需要执行的操作指令发送给被控端
5将命令加密后发送给被控端
在发送指令前,Server段会对命令进行加密处理,以确保指令的安全性
6.被控端接收指令
接收并解密指令,然后执行相应的操作,并将结果返回给服务端
使用Wireshark或科莱等工具,模拟浏览器抓取,捕获并分析CS流量
CS生成一个HTTP木马,用于与C2服务器通信。一旦木马在目标系统上运行,上线并执行一条命令。我们对CS流量进行分析,了解木马和C2服务器之间的通信方式和特征
此外,我们还可以使用CS的心跳指令来提取其特征。通常情况下,CS会定期向C2服务器发送心跳包,以保持与服务器的连接。我们可以使用Wireshark等工具,捕获并分析这些心跳包,以识别出CS的特征
Windows可执行程序(E)是一种恶意软件,也称为“大马拖小马”(RAT)。它通常很小(约20KB),用于感染目标系统并为后续的攻击建立立足点。一旦E恶意软件在目标系统上执行,它会从Cobalt Strike服务器下载并执行一个更大的负载(约200KB)。这个更大的负载被设计为更强大和功能丰富的,可能包括额外的功能,如键盘记录、文件窃取和命令执行。
Windows可执行程序(Stageless)是Cobalt Strike可以生成的另一种负载,它是一种更大的、无阶段的可执行文件(约290KB)。该负载包含了与Cobalt Strike服务器建立连接和执行命令所需的所有功能
区别:E负载更小、更难以被检测和识别,但在某些情况下可能不够隐蔽。而Stageless负载则更容易使用,但在某些情况下可能更容易被检测和拦截
消除cs特征,使其
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。