.u .u a. x. u. .u .u 999 .886685 .xX9999A ..99899999. ..xe644b. x999z @99z 997. W88 63 78h 99998 7 999Q S999 ^`999N""999N" 997 '988 63 798 999 999R I999 9996 '9998 99B45333" 98889899* .899999999 99 999R I999 9996 9998 96 98' 988L 99 689 999 999R I999 9996 9998 966 966 988 99 6R9 99986 )999I R999 9996 9998 999988B` 899999. 98999999R+ `9889999QQ "9B8*I9' "9998' 9998 "^ " T' "P` 'J` `E" ""
Sono pubblicate solo per scopo di divulgazione informatica, e protezione dalle minacce di tipo beacon (C2). |
Micro Blog altre informazioni raccolte riguardo il mondo beacon e la sicurezza informatica. |
Cobalt Strike pagina di aiuto per gli oggetti BOF |
__ |
Compilazione BOF |
x86_64-w64-mingw32-gcc -o bof.o -c bof.c -masm=intel |
Cobalt Strike parser uno strumento per controllare la configurazione dei beacon Cobalt Strike. |
Coffee loader utile per testare i beacon, senza la piattaforma Cobal Strike |
Boku Loader, una prova di concetto per inserire funzioni aggiuntive nel beacon |
BOF helper offline (utile per avere informazioni di uso beacon senza connessione internet) |
Get last error, utile per verificare gli errori senza una connessione internet |
Decriptare traffico beacon La pagina mostra la presenza di file (con nome .cobaltstrike.beacon_keys) contenenti chiavi pubbliche e private. |
Queste chiavi sono generate quando per la prima volta viene avviata l'istanza di Cobalt Strike. |
La comunicazione tra il client (beacon) e il server C2 di Cobalt Stike, avviene in modalità criptata AES. |
La chiave AES è generata dal client beacon, e comunicata al server C2 usando un dato di tipo metadata. |
La criptazione RSA è invece usata per criptare questo dato con la modalità metadata. Il processo client beacon ha la chiave pubblica del server C2, |
e quest'ultimo ha la chiave privata. |
Durante la ricerca di impronte Cobalt Strike generate da server dedicati, i ricercatori possono rilevare la presenza di chiavi pubbliche. |
Questo comportamento degli attaccanti (chi usa Cobalt Strike per fini illeciti) implica che essi usano le stesse chiavi private, |
in più file .cobaltstrike.beacon_keys in modalità condivisa. |
Una possibile spiegazione a tale comportamento, potrebbe essere che gli attaccanti usano le versioni non registrate di Cobalt Strike, |
le quali includono file di chiave .cobaltstrike.beacon_keys precompilati. Questi file di chiave non sono parte della distribuzione registrata del pacchetto |
del produttore Cobal Strike, e sono molto probabilmente generati appositamente dagli attaccanti. |
L'articolo mostra le fasi di cattura e ricerca dei file di chiave. Seguendo questi suggerimenti, potrebbe essere possibile decriptare il traffico criptato, |
tra client beacon e server C2. |
GPU sleep, muovere il processo beacon nella memoria GPU del sistema |
Come nascondere un processo beacon, durante l'esecuzione di un oggetto BOF Mentre un'installazione base di un processo beacon può avvenire senza essere |
rilevata, eseguire attività di post sfruttamento vulnerabilità ed altro, da un oggetto BOF, |
potrebbe far scattare dai sistemi di protezione EDR, una scansione di memoria nel client che ospita il beacon. |
I sistemi EDR potrebbero successivamente uccidere il processo beacon. |
L'articolo spiega come modificare (e mascherare) l'area di memoria, dove il processo beacon risiede dormendo. |
Bounce Back un redizionatore abbastanza nascosto per beacon |
Automattizzare una infrastruttura C2 con Terraform, Nebula, Caddy e Cobalt Strike |
Utilizzare Caploader per trovare traffico beacon (video) #a0e9f5d64349fb13191bc781f81f42e1 |
Cobal strike shellcode analisi (video) |
Video per decodifica ed estrazione dettagli C2 in Cobalt Strike |
Cross C2 un framework per generare beacon con funzionalità per il sistema opeativo Linux. |
Questo framework pubblico potrebbe essere il primo generatore di beacon Linux, rispetto a |
formati binari già compilati, osservati nell'anno 2022. |
Informazioni di Cross C2 erano state raccolte nel sito blog.injectexp.dev (url completo) |
Caccia al beacon dormiente tramite la verifica della funzione Wait:DelayExecution |
__ |
Geacon Pro un progetto beacon scritto in linguaggio GO da H4de5 (repo alternativo) |
Repo Geacon Pro originario dell'autore, la pagina non è più disponibile. |
__ |
OdinLdr un beacon loader scritto per non essere facilmente rintracciabile tramite scansione della memoria. |
Chisel Strike uno strumento scritto con tecnologia .NET per essere utilizzato come aggressore con chisel. |
Cobalt Strike OperatorsKit Questo spazio Github contiene una collezione di oggetti file beacon, che si intergrano con Cobalt Strike. |
Cobalt Strike Beacon (alternativo) Spazio Github che contiene un codice sorgente Beacon scritto da zero (in Visual Studio) da Kyxiaxiang. |
Probabile che si tratti di una parte del codice esposto a terzi senza permesso (leak), dell'originale progetto Cobal Strike. |
Progetto in Github di una versione Beacon scritta in Rust |
Rappresentazione strumenti RedTeam/BlueTeam fornita da A-POC. |
Bear C2 uno strumento di simulazione attacchi APT. Lo sviluppatore mantiene anche un pannello C2. |
Anti debug Tricks (CheckPoint research) |
__ |
__ |
Change log pagina |
07 gennaio 2024 - Inserita descrizione per Bear C2. |
__ |
__ |
| back |
