Cobalt Strike之DNS Beacon使用记录【转】

Cobalt Strike之DNS Beacon使用记录

2017-02-21 补丁君 FreeBuf

*原创作者:补丁君,本文属FreeBuf原创奖励计划,未经许可禁止转载

笔者使用环境

本机 Debian Linux
服务器 VPS(Debian Linux)
目标 Windows 2003(虚拟机)
Cobalt Strike  v3.6(开心版)

Cobalt Strike开启团队服务器模式需要Java环境,本机使用也需要,推荐安装Oracle java8


先上传Cobalt Strike压缩包到服务器上,解压

如图所示,输入命令

root@AliYun:~/cobaltstrike# nohup ./teamserver 你的服务器ip 你要设置的密码&

这样就可以开启Cobalt Strike的团队服务模式了,并且可以后台挂载在那里

然后,本机打开Cobalt Strike,输入服务器IP、端口、密码,用户名任意设置

顺利的就连上了服务器,现在开始正题

拿出我们准备好的域名,修改NS记录绑定到DNSPod上

先添加一个域名A记录,指向我们的服务器IP

想用Cobalt Strike的DNS Beacon话,我们还需要添加两个域名的NS记录

注意:记录值要填写刚刚设置A记录的二级域名fuck.xxx.com,最后设置好如图所示

下面开始配置Cobalt Strike,生成后门

添加一个listener,选择第一个beacon_dns就是走DNS隧道协议,隐蔽性极强,不开任何端口。(缺点:响应速度慢)

配置好监听后,就开始生成后门吧

目标是32位的就默认就好,64位的就勾选下选项即可

生成好木马,就利用一些猥琐的手段放进目标机运行咯(笔者这里就直接复制进去双击了~~)

注意还未运行前端口开放状态

运行木马后,Cobalt Strike已经呈现出一个主机会话了

可以发现,会话延迟很高!主机的一些信息都还没反应过来!此时我们再来看看主机端口开放情况

与运行前并无什么差别的~

现在也有很多后门传输开始走DNS隧道了,比以往走HTTP、TCP等更难察觉,传送门http://www.freebuf.com/sectool/110815.html

笔者对此方式的理解如下:(错误之处,请提出一起交流学习~)

木马向DNS服务器ns1.xxx.xxx发起通信——>DNS服务器ns1.xxx.xxx指向域名fuck.xxx.xxx——>域名fuck.xxx.xxx指向VPS的ip——>木马与VPS建立DNS隧道连接

VPS上的teamserver向本机Cobalt Strike返回主机会话

后面怎么利用就是beacon>help 查看命令自己造吧~~

那么,我们试试不走DNS隧道呢?

再添加个监听,走http通道

重新生成个后门,运行后,返回了主机会话(速度很快)

此时,我们查看下目标主机端口开放情况

这就是走HTTP传输了,端口开放可以被探测到,但这种模式传输数据相对要快很多了

后面深入应用就不在此文表述了,仅为抛砖引玉~

参考:

DNS Command and Control Added to Cobalt Strike

https://www.cobaltstrike.com/help-dns-beacon

*原创作者:补丁君,本文属FreeBuf原创奖励计划,未经许可禁止转载

关于xmsg

技术面前人人平等.同时技术也不分高低贵贱.正所谓学无大小,达者为尊.
此条目发表在安全资讯, 思维启发, 未分类分类目录。将固定链接加入收藏夹。