CobaltStrike的狩猎与反狩猎

文章预览

0x01 前言 又到了xxx的时间了，在对红队基础设施的准备时写下的这篇文章 0x02 开始狩猎 CobaltStrike版本：4.9.1 不做任何配置启动teamserver 使用默认配置的生成x64位beacon，上线pid为3040 0x021 BeaconEye [BeaconEye]（ https://github.com/CCob/BeaconEye ） 的核心原理是通过扫描CobaltStrike中的内存特征，并进行Beacon Config扫描解析出对应的Beacon信息 BeaconEye是基于.NETFramework 4.8框架开发的，至少需要.net4.0以上，为了解决真实环境下低版本服务器没有.net4.0以上的环境，可以使用[EvilEye] （ https://github.com/akkuman/EvilEye ） 替代BeaconEye，EvilEye是Golang版本的BeaconEye 我目前使用的测试环境为Windows Server 2008，所以直接使用EvilEye进行检测，可以看到能直接从内存中提取出Beacon的信息 0x022 Hunt-Sleeping-Beacons [Hunt-Sleeping-Beacons]（ https://github.com/thefLink/Hunt-Sleeping-Beacons） 项目的主要功能是帮助广 ………………………………