CobaltStrike的狩猎与反狩猎

文章预览

朋友们现在只对常读和星标的公众号才展示大图推送，建议大家把“ 亿人 安全 “ 设为星标 ”， 否则可能就看不到了啦 原文首发在:先知社区 https://xz.aliyun.com/t/14798 0x01 前言 又到了xxx的时间了，在对红队基础设施的准备时写下的这篇文章 0x02 开始狩猎 CobaltStrike版本：4.9.1 不做任何配置启动teamserver 使用默认配置的生成x64位beacon，上线pid为3040 0x021 BeaconEye BeaconEye 的核心原理是通过扫描CobaltStrike中的内存特征，并进行Beacon Config扫描解析出对应的Beacon信息 BeaconEye是基于.NETFramework 4.8框架开发的，至少需要.net4.0以上，为了解决真实环境下低版本服务器没有.net4.0以上的环境，可以使用EvilEye替代BeaconEye，EvilEye是Golang版本的BeaconEye 我目前使用的测试环境为Windows Server 2008，所以直接使用EvilEye进行检测，可以看到能直接从内存中提取出Beacon的信息 0x022 Hunt-Sle ………………………………