本文介绍了CobaltStrike中C2重定向器的概念及其在网络安全中的应用。重定向器作为团队服务器和失陷主机间的中转站,增加了攻击操作的隐蔽性,使得追踪变得更加困难。通过 socat 工具,可以将服务器转变为重定向器,转发连接到团队服务器。在演示环境中,配置了重定向器后,受害机上线只会显示跳板机IP,确保了团队服务器的真实地址不被暴露。此外,文章还提及了如何在CobaltStrike中设置重定向器,并生成带有重定向器的后门文件,确保即使部分重定向器被阻断,仍能维持对目标主机的控制。
0x01 重定向器
重定向器是位于你的目标网络和你的团队服务器之间的系统。任何去往重定向器的连接将转发到你的团队服务器进行处理。通过重定向器,可以为你的 Beacon payload 提供多个回连主机。使用重定向器有助于提升行为安全,因为它会使溯源团队服务器的真实地址变得更加困难。
C2 Redirectors,就是在现有的C2上增加一个中转服务器,这个中转服务器起到功能和流量分离的作用,C2流量可以被中转到不同战术意义的服务器,比如打完就走的短期C2、需要长期控制驻留的C2和邮件钓鱼服务器等。
这个 C2 重定向器相当于位于团队服务器这个控制端和失陷主机之间的中转跳板。外界只能看到重定向器(跳板),一旦重定向器暴露可以被随时抛弃,除非重定向器被反制,否则很难追踪到背后真正的控制者。
摘自:A-TEAM《CobaltStrike4.0用户手册_中文翻译》
0x02 演示环境
- 团队服务器:192.168.158.129
- 跳板机:192.168.158.131
- 受害机:10.211.55.3
0x03 使用教程
Cobalt Strike 的监听器管理功能支持使用重定向器。当你设置一个 HTTP 或 HTTPS Beacon 监听器的 时候,简单的指定你的重定向器 IP (在 Host 字段填入跳板机IP)。Cobalt Strike 不会验证这个信息。如果你提供的 Host 不隶属于当前主机(不是团队服务器的 IP),那么 Cobalt Strike 就假设它是重定向器。 可以使用 socat工具将服务器转变为重定向器。
在跳板机上安装socat工具并执行如下
扫一扫
6914
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
