Dal 2021 raccogliamo informazioni per scopo di protezione, divulgazione, conservazione delle tecniche beacon C2 (Command and control infrastructure), |
nel contesto di sicurezza dati. |
Profilo github ufficiale di Cobalt Strike, la soluzione commerciale per testare gli impianti C2. |
|
Compilazione BOF(1): x86_64-w64-mingw32-gcc -o bof.o -c bof.c -masm=intel |
(1) Un oggetto beacon è un programma compilato in linguaggio C, scritto tramite uno standard che permette |
di usare le application port interface disponibili nello stesso beacon. |
SharpBeacon un beacon scritto in C sharp. |
Sorgente beacon scritto in C++. L'autore del primo originale repository aveva dichiarato |
di aver acquistato il sorgente dalla piattaforma cinese Xianyu. |
Geacon Pro un progetto beacon scritto in linguaggio GO da H4de5 (repo alternativo) |
Repo Geacon Pro originario dell'autore, la pagina non è più disponibile. |
| lista dei file. |
-- :: Oggetti BoF - Loader :: -- |
Cobalt Strike pagina di aiuto per gli oggetti BOF. |
Cobalt Strike parser uno strumento per controllare la configurazione dei beacon Cobalt Strike. |
Coffee loader utile per testare i beacon, senza la piattaforma Cobalt Strike. |
Boku Loader una prova di concetto per inserire funzioni aggiuntive nel beacon. |
RDPHijack-BOF oggetto BOF che usa le 'application port interface' WinStationConnect al fine di stabilire connessioni RDP. |
BOF helper (script in python per compilare facilmente gli oggetti BOF) |
CS-get-last-error utile per verificare gli errori generati da Cobalt Strike, senza una connessione internet. |
OdinLdr un beacon loader scritto per non essere facilmente rintracciabile tramite scansione della memoria. |
Chisel Strike uno strumento scritto con tecnologia .NET per essere utilizzato come aggressore con chisel. |
ESC1-unPAC oggetto che permette di richiedere un certificato tramite tecnica arbitraria SAN/SID per oltrepassare la protezione Strong Mapping KB5014754, |
al fine di estrarre un hash di tipo NT. |
Bounce Back un redizionatore abbastanza nascosto per beacon (commento di Florian Roth: Questa è una parte legittima del red teaming). |
Script aggressivi per Cobalt Strike. L'articolo spiega come scaricare un set di script (scritti in liguaggio SleeP) |
aggiornati. Gli script sono mantenuti in questo spazio Github (Arsenal Aggressor Script). |
ADSyncDump oggetto BOF basato sullo strumento di Dirkjan Mollema, per estrarre e decriptare informazioni Entra ID. |
Aggressor Kit progetto GitHub che raccoglie una collezione di script fatti in casa per Cobalt Strike. |
|
|
-- :: Guide generiche :: -- |
Decriptare traffico beacon (blog.nviso.eu) | ulteriori spiegazioni in questa pagina |
Usare i timer con i beacon (1) una nuova tecnica di offuscamento della funzione sleep, che sfrutta i timer attendibili, crittografando |
tramite RC4 il processo principale, e modifica i permessi da RW a RX per eludere gli scanner di memoria. |
GPU sleep, muovere il processo beacon nella memoria GPU del sistema |
Come identificare beacon nella propria rete interna (2) rispettto al primo articolo proposto sopra, l'autore, raggruppa differenti tecniche, |
ed utilizza il motore Shodan, per ottenere una panoramica generale dei server che propagano comandi di tipo C2. |
Seconda evidenza di un beacon scritto per il sistema operativo Linux (hunt.io). |
Pivot con Cobalt Strike (1) Steve Borosh spiega come attivare un passaggio (pivot) il protocollo http[s] dopo la prima compromissione. |
Pivot con Cobalt Strike (2) come sopra, ma doppio passaggio usando SSH e Proxychains4. |
Modificare e mascherare l'area di memoria del processo beacon articolo di Xforce. |
Automattizzare una infrastruttura C2 con Terraform, Nebula, Caddy e Cobalt Strike |
Utilizzare Caploader per rilevare traffico beacon (video) #a0e9f5d64349fb13191bc781f81f42e1 |
Cobal strike shellcode analisi (video) |
Video per decodifica ed estrazione dettagli C2 in Cobalt Strike |
Caccia al beacon dormiente tramite la verifica della funzione Wait:DelayExecution |
Cobalt Strike Operators Kit questo spazio Github contiene una collezione di oggetti file beacon, che si integrano con Cobalt Strike. |
Monitorare i beacon di Cobalt Strike con i token di windows al fine di ottenere una persistenza con Kerberos (sokarepo.github.io). |
Ultimate Arsenal progetto Github che raccoglie risorse (BOF, CNA script, eccetera) aperte (senza diritto di autore) per Cobal Strike. |
L'uso di questi strumenti è per fini legali, in ambienti di red-team o test di penetrazione. |
Outflank NL spazio ufficiale Github di questo team commerciale, che sviluppa soluzioni per Cobalt Strike. |
Caccia ai beacon dormienti questo progetto è uno scanner dell'area di memoria callstack; cerca di identificare valori di compromissione |
che confermino la presenza di un'agente C2. |
Utilizzare Cobalt Strike per trovare infrastrutture Cobalt Strike |
Interessante articolo che spiega una tecnica per trovare infrastrutture C2 progettate con Cobal Strike. |
Parte dal presupposto che i profili pubblici Malleable C2, che utilizzano certificati pre installati e autofirmati, |
(con nomi abbastanza conosciuti, quali gmail.com, visualstudio.com, baidu.com, tencent.com.cn, wikipedia.org, eccetera..), |
possono essere rilevati. |
L'autore scrive che è possibile sviluppare strumenti per cercare queste stranezze (con la base dati di Censys), così da rilevare le infrastrutture C2. |
In definitiva non serve utilizzare il software Cobalt Strike, per rilevare i profili, ma la stessa tecnica con la base dati. |
Analisi beacon (Cobalt Strike) di Axelarator Utile per conoscere i nome variabili, usati nei file di configurazione. |
|
|
|
-- :: Altre informazioni relative a strutture C2 :: -- |
Cross C2 un framework per generare beacon con funzionalità per il sistema opeativo Linux. |
Questo framework pubblico potrebbe essere il primo generatore di beacon Linux, rispetto a |
formati binari già compilati, osservati nell'anno 2022. |
Informazioni di Cross C2 erano state raccolte nel sito blog.injectexp.dev (url completo) |
Costruire un'infrastruttura C2 in Digital Ocean. L'articolo non è più al passo |
con le nuove soluzioni C2 disponibili, ma è utile per imparare le basi o integrare le tecniche del mondo beacon. |
sharpftpc2 un protocollo C2 via protocollo FTP. |
Rappresentazione strumenti RedTeam/BlueTeam fornita da A-POC (immagine). |
Bear C2 uno strumento di simulazione attacchi APT. Lo sviluppatore mantiene anche un pannello C2. |
Tracciare traffico C2 con l'analisi di frequenza (Fourier) |
Ottenere token Microsoft tramite beacon. Una prova di concetto. |
Enumerazione Ldap in Windows l'autore (2NS FI) dello studio ipotizza l'utilizzo della tecnica, anche tramite beacon. |
Enumerazione Ldap in Active Directory Web Services iPurple Team riassume dettagli per acquisire informazioni, o installare esche nel servizio web. |
AdaptixC2 è una piattaforma software per gestire la simulazione avversaria e sfruttamento di vulnerabilità |
per chi lavora nel mondo dei test di penetrazione. |
La struttura framework è scritta in linguaggio GO, e mantiene un codice sorgente C++ per il client beacon. |
LoL C2 la pagina contiene una serie di spiegazioni, metodi per attivare una struttura di tipo C2 e farla comunicare tramite portali web di servizi social e cloud. |
Sono incluse informazioni utili ad evitare il rilevamento da parte di firewall o sistemi di anti-intrusione. |
Onion C2 progetto disponibile in GitHub, mantenuto da Zarkones, per mantenere un processo di comando e controllo che comunica tramite rete TOR. |
L'agente è scritto in Rust, il servizio CS in linguaggio GO. |
Come creare una infrastruttura C2 con Mythic C2 instradando il traffico tramite redirect intermediari. |
Viene utilizzata una configurazione proxy Nginx diretta anzichè sfruttare l'infrastruttura di un grande servizio CDN. Autore: Ivan Spiridonov. |
Articolo di Domaintools, avvisa riguardo parti di virus che potrebbero essere codificate ed incluse in un record TXT. |
La tecnica potrebbe essere usata anche per la comunicazione tra beacon e Cobal Strike? |
Orsted C2, il progetto mantiene un beacon scritto in linguaggio GO. |
La documentazione è disponibile qui. |
Copilot my payload (Smellington). |
Anti debug Tricks (CheckPoint research) |
| |
| |
| -- :: Modifiche pagina :: -- |
07 gennaio 2025 | - Inserita descrizione per Bear C2. |
27 aprile 2025 | - Inserito riferimento esterno per analisi traffico di frequenza. |
29 aprile 2025 | - Inserito riferimento per presenza Supershell e beacon Linux (hunt.io). |
12 maggio 2025 | - Inserito riferimento per Microsoft token (Infosecnoodle). |
16 maggio 2025 | - Inserito riferimento per AdaptixC2. |
29 maggio 2025 | - Inserito riferimento per LoL C2. |
06 giugno 2025 | - Inserito riferimento enumerazione Ldap (2NS FI) |
10 giugno 2025 | - Aggiornato riferimento github per OdinLdr (vecchio https://github.com/RtlDallas/OdinLdr). |
18 giugno 2025 | - Aggiornato riferimento pagina Xforce per area di memoria beacon. |
20 giugno 2025 | - Inserito riferimento per Onion C2. |
26 giugno 2025 | - Inserito riferimento per infrastruttura tramite Mythic C2. |
17 luglio 2025 | - Inserito riferimento Domaintools, per traffico DNS con parti esadecimali. |
05 agosto 2025 | - Inserito riferimento sokarepo.github.io, per sfruttare un token windows via beacon. |
- Inserito riferimento beacon scritto in linguaggio C++ (Xianyu). | |
12 agosto 2025 | - Inserito riferimento enumerazione Ldap in Active Directory Web Services (iPurple Team). |
20 agosto 2025 | - Inserita pagina per la lista file del beacon privato Kimsuky. |
28 agosto 2025 | - Inserito riferimento per ADSyncDump (Paradoxis). |
04 settembre 2025 | - Inserito riferimento per Orsted C2. |
07 settembre 2025 | - Inserito riferimento per Arsenal Aggressor Script (RedTeam). |
12 novembre 2025 | - Riferimento al frammento di sorgente Babuk2 (Smellington). |
15 dicembre 2025 | - Corretto riferimento repository al codice sorgente Beacon scritto in C++. Il codice è ancora disponibile in Github. |
| Rimosso riferimento al codice sorgente Beacon scritto in C (anche in questo caso il repository è stato fermato per una notifica della legge DMCA). |
19 dicembre 2025 | - Inserito riferimento per BOF ESC1-unPAC (RayRRT). |
26 dicembre 2025 | - Inserito riferimento per ricerca profili Cobalt Strike, tramite Censys. |
02 gennaio 2026 | - Inserito riferimento per analisi beacon di Axelator. |
| |
| |
| back | |
| |
| Privacy policy |
