freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

如何使用BeaconEye监控CobaltStrike的Beacon
2021-09-19 21:01:23

关于BeaconEye

BeaconEye是一款针对CobaltStrike的安全工具,该工具可以扫描正在运行的主动CobaltStrike Beacon。当BeaconEye扫描到了正在运行Beacon的进程之后,BeaconEye将会监控每一个进程以查看C2活动。

工作机制

BeaconEye将会扫描活动进程或MiniDump文件,以尝试检测CobaltStrike Beacon。在活动进程模式下,CobaltStrike Beacon可以将其以调试器的身份与目标进程绑定,监控Beacon活动以识别C2流量(当前版本的BeaconEye支持HTTP/HTTPS Beacon)。

用于加密C2数据和mallable配置文件的AES密钥会被动态解码,这将允许BeaconEye能够在操作人员发送命令时提取和解密Beacon的输出。

每个进程都会创建一个活动日志文件夹,该文件夹与执行BeaconEye的当前目录对应。

功能介绍

每个进程一个日志文件夹;

导出Beacon配置;

显示大多数Beacon命令的输出;

保存屏幕截图;

检测单独的和注入的Beacon;

检测使用内置sleep_mask隐藏的Beacon;

扫描正在运行的进程或离线Minidump文件;

工具下载

广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

git clone https://github.com/CCob/BeaconEye.git

工具使用

BeconEye by @_EthicalChaos_

  CobaltStrike beacon hunter and command monitoring tool x86_64

 

  -v, --verbose              开启Verbose模式,显示更多信息

  -m, --monitor             扫描正在运行的活动进程,与之进行绑定并监控

  -f, --filter=VALUE           使用名字过滤进程列表(仅活动模式下可用)

  -d, --dump=VALUE          Minidump模式专用目录(*.dmp或*.mdmp)

  -h, --help                 显示帮助信息

注意事项

BeaconEye可以检测所有Beacon类型,但只能监控HTTP/HTTPS Beacon。目前,工具只会解码命令输出数据,而不会解码命令请求。

项目地址

BeaconEye:GitHub传送门

参考资料

https://github.com/Apr4h/CobaltStrikeScan

https://www.freebuf.com/articles/network/288210.html

# 监控 # CobaltStrike # Beacon
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录