cobalt strike 是护网中红队比较常用的c2工具 在检测中发现cs后门

可以用以下这几种方式进行反制。

cs上线流程分析

攻击者利用CS Server生成新的Beacon监听（包括一对非对称公私钥）并生成Stager；
攻击者投递Stager到受控主机；
受控主机在Exploit阶段执行小巧的Stager；
受控主机根据Stager Url请求特征向Beacon Staging Server下载体积较大更复杂的Stage到本地，Beacon Staging Server会校验Url的合法性；
Stage解密并解析Beacon配置信息（比如公钥PublicKey、C2 Server信息）；
Stage通过公钥PublicKey加密主机的元数据并发送至C2 Server；
C2 Server用私钥解密数据获取主机元数据。

从上述流程中，我们能Get到2个核心点：

Stager Url校验算法

Beacon配置的解密算法

与CS Server合法通信的问题等价转换为获取Stager Url和Beacon解密问题，即：

CS/C2 Server合法通信 = （Stager Url校验算法，Beacon解密算法）

只要拿到了（Stager Url校验算法，Beacon解密算法），相当于我们掌握了与CS/C2 Server合法通信的凭据。我们分别对上述2个核心点进行分析。

也就是说，我们可以通过生成4位的随机校验码，通过checksum8算法获取文件，这里以7vv9为例：55+118+118+57-256=92

1. checksum8：这个函数可能用于计算数据的8位校验和。它可以接收一个数据块作为输入，并返回一个8位的校验和值。校验和通常用于验证数据在传输过程中是否完整和准确，以检测数据损坏或错误。

2. MSFURI：这个函数可能用于处理和操作Metasploit框架中的URL。Metasploit是一个流行的渗透测试和漏洞利用工具，"MSFURI"函数可能提供一些与URL相关的功能，如解析URL、提取URL参数等。

3. isStager：这个函数可能被用于判断某个脚本或数据是否为Stager。Stager是指一段代码或载荷，用于在攻击中引导或加载后续的恶意代码。"isStager"函数可能会对输入进行检查和判断，以确定其是否符合Stager的特定条件。

Beacon配置解密算法

使用工具进行解密:https://github.com/Sentinel-One/CobaltStrikeParser

方法1 爆破cs弱口令

在收集到红队 teamserver 真实ip信息后 默认开放的端口是 50050

也可以使用masscan -p1-65535 ip 对服务器所有端口进行扫描

找到开放的端口 尝试破解口令。

破解 脚本 https://github.com/ryanohoro/csbruter

└─$ sudo masscan -p1-65535 192.168.10.158
Starting masscan 1.3.2 (http://bit.ly/14GZzcT) at 2023-06-28 03:49:39 GMT
Initiating SYN Stealth Scan
Scanning 1 hosts [65535 ports/host]
Discovered open port 8800/tcp on 192.168.10.158                                
Discovered open port 50666/tcp on 192.168.10.158       

访问端口

然后抓包查看。发现有一段特殊字符。

全端口扫描也能扫到该端口。

指纹有可能不一样 这个版本是修改过的。

执行脚本

python csbruter.py -p 50666  192.168.10.158 top1000.txt

得到密码连接方对方的tamserver 即可。 再进行下一步操作。

方法2 CS RCE（CVE-2022-39197）反制红队主控制端

Cobalt_Strike <4.7.1 RCE （CVE-2022-39197) 在这个版本存在远程RCE 红队的版本比这个低的情况下 可以进行反制。

脚本下载地址 https://github.com/its-arun/CVE-2022-39197

原理是 在java swing 中 某个控件 存在rce 刚好 cs用到这个控件 因为长度有限制 目前主要的利用方法是，通过hook修改进程名加载远程恶意的jar包。

首先使用idea修改一下 jar包里面执行执行后门

接着生成jar包 mvn clean compile assembly:single

使用mvn打包。