Sono pubblicate solo per scopo di divulgazione, e protezione dalle minacce di tipo beacon (C2). |
Cobalt Strike pagina di aiuto per gli oggetti BOF |
__ |
Compilazione BOF |
x86_64-w64-mingw32-gcc -o bof.o -c bof.c -masm=intel |
Seconda evidenza di un beacon scritto per il sistema operativo Linux (hunt.io). |
Cobalt Strike parser uno strumento per controllare la configurazione dei beacon Cobalt Strike. |
Coffee loader utile per testare i beacon, senza la piattaforma Cobal Strike |
Boku Loader, una prova di concetto per inserire funzioni aggiuntive nel beacon |
BOF helper offline (utile per avere informazioni di uso beacon senza connessione internet) |
Get last error, utile per verificare gli errori senza una connessione internet |
Decriptare traffico beacon La pagina mostra la presenza di file (con nome .cobaltstrike.beacon_keys) contenenti chiavi pubbliche e private. |
Queste chiavi sono generate quando per la prima volta viene avviata l'istanza di Cobalt Strike. |
La comunicazione tra il client (beacon) e il server C2 di Cobalt Stike, avviene in modalità criptata AES. |
La chiave AES è generata dal client beacon, e comunicata al server C2 usando un dato di tipo metadata. |
La criptazione RSA è invece usata per criptare questo dato con la modalità metadata. Il processo client beacon ha la chiave pubblica del server C2, |
e quest'ultimo ha la chiave privata. |
Durante la ricerca di impronte Cobalt Strike generate da server dedicati, i ricercatori possono rilevare la presenza di chiavi pubbliche. |
Questo comportamento degli attaccanti (chi usa Cobalt Strike per fini illeciti) implica che essi usano le stesse chiavi private, |
in più file .cobaltstrike.beacon_keys in modalità condivisa. |
Una possibile spiegazione a tale comportamento, potrebbe essere che gli attaccanti usano le versioni non registrate di Cobalt Strike, |
le quali includono file di chiave .cobaltstrike.beacon_keys precompilati. Questi file di chiave non sono parte della distribuzione registrata del pacchetto |
del produttore Cobal Strike, e sono molto probabilmente generati appositamente dagli attaccanti. |
L'articolo mostra le fasi di cattura e ricerca dei file di chiave. Seguendo questi suggerimenti, potrebbe essere possibile decriptare il traffico criptato, |
tra client beacon e server C2. |
GPU sleep, muovere il processo beacon nella memoria GPU del sistema |
Come nascondere un processo beacon, durante l'esecuzione di un oggetto BOF Mentre un'installazione base di un processo beacon può avvenire senza essere |
rilevata, eseguire attività di post sfruttamento vulnerabilità ed altro, da un oggetto BOF, |
potrebbe far scattare dai sistemi di protezione EDR, una scansione di memoria nel client che ospita il beacon. |
I sistemi EDR potrebbero successivamente uccidere il processo beacon. |
L'articolo spiega come modificare (e mascherare) l'area di memoria, dove il processo beacon risiede dormendo. |
Bounce Back un redizionatore abbastanza nascosto per beacon |
Automattizzare una infrastruttura C2 con Terraform, Nebula, Caddy e Cobalt Strike |
Utilizzare Caploader per trovare traffico beacon (video) #a0e9f5d64349fb13191bc781f81f42e1 |
Cobal strike shellcode analisi (video) |
Video per decodifica ed estrazione dettagli C2 in Cobalt Strike |
Cross C2 un framework per generare beacon con funzionalità per il sistema opeativo Linux. |
Questo framework pubblico potrebbe essere il primo generatore di beacon Linux, rispetto a |
formati binari già compilati, osservati nell'anno 2022. |
Informazioni di Cross C2 erano state raccolte nel sito blog.injectexp.dev (url completo) |
Caccia al beacon dormiente tramite la verifica della funzione Wait:DelayExecution |
__ |
Geacon Pro un progetto beacon scritto in linguaggio GO da H4de5 (repo alternativo) |
Repo Geacon Pro originario dell'autore, la pagina non è più disponibile. |
__ |
OdinLdr un beacon loader scritto per non essere facilmente rintracciabile tramite scansione della memoria. |
Chisel Strike uno strumento scritto con tecnologia .NET per essere utilizzato come aggressore con chisel. |
Cobalt Strike OperatorsKit Questo spazio Github contiene una collezione di oggetti file beacon, che si intergrano con Cobalt Strike. |
Cobalt Strike Beacon (alternativo) Spazio Github che contiene un codice sorgente Beacon scritto da zero (in Visual Studio) da Kyxiaxiang. |
Probabile che si tratti di una parte del codice esposto a terzi senza permesso (leak), dell'originale progetto Cobal Strike. |
Progetto in Github di una versione Beacon scritta in Rust |
Rappresentazione strumenti RedTeam/BlueTeam fornita da A-POC. |
Bear C2 uno strumento di simulazione attacchi APT. Lo sviluppatore mantiene anche un pannello C2. |
Tracciare traffico C2 con l'analisi di frequenza (Fourier) |
Ottenere token Microsoft tramite beacon. Una prova di concetto. |
Anti debug Tricks (CheckPoint research) |
__ | |
__ | |
Change log pagina | |
07 gennaio 2025 | - Inserita descrizione per Bear C2. |
27 aprile 2025 | - Inserito riferimento esterno per analisi traffico di frequenza. |
29 aprile 2025 | - Inserito riferimento per presenza Supershell e beacon Linux (hunt.io). |
12 maggio 2025 | - Inserito riferimento per Microsoft token (Infosecnoodle). |
__ | |
__ | |
| back |
