详细内容或原文请订阅后点击阅览
PoC:Cobalt Strike mitm 攻击
我大约 6 个月前做过这件事,但当时这篇博文没有发布。我现在发布它。我做了一个小的概念验证:cs-mitm.py 是一个 mitmproxy 脚本,它可以拦截 Cobalt Strike 流量、解密并注入自己的命令。在此视频中,通过向恶意信标发送睡眠来终止恶意信标 […]
来源:Didier Stevens _恶意软件PoC:Cobalt Strike mitm 攻击
我大约在 6 个月前做过这件事,但当时没有发布这篇博文。我现在发布它。
我大约在 6 个月前做过这件事,但当时没有发布这篇博文。我现在发布它。我做了一个小的概念验证:cs-mitm.py 是一个 mitmproxy 脚本,可拦截 Cobalt Strike 流量、解密并注入自己的命令。
cs-mitm.py mitmproxy在此视频中,通过向恶意信标发送睡眠命令,然后发送退出命令来终止恶意信标。我只是包含了睡眠命令,以表明可以对多个命令执行此操作。
此视频我为此 PoC 选择了此恶意信标,因为它使用其中一个泄露的私钥,使脚本能够解密元数据并获取必要的 AES 和 HMAC 密钥。
泄露的私钥PoC 不支持可塑性 C2 数据转换,但可以从我的其他 cs-* 工具中获取执行此操作的代码。
可塑性 C2 数据转换 cs-* 工具