【笔记】CobaltStrike通过腾讯云云函数实现转发器
前言
CobaltStrike通过腾讯云云函数实现转发器,以隐藏真实域名和IP地址实现反溯源
开通服务(首次)
- 左上角菜单搜索
云函数->云函数
或直接访问https://console.cloud.tencent.com/scf
前往访问管理
同意授权
创建云函数
函数服务->新建
从头开始->运行环境设置为Python 3.6
- 填写代码,修改C2变量的值为CobaltStrike服务端域名或IP地址->勾选
我已阅读并同意《腾讯云云函数网络协议》->完成- 根据实际情况使用HTTP或HTTPS
立即跳转或等待倒计时结束自动跳转
函数URL->新建函数URL
公网访问勾选启用->确定
- 得到公网访问的URL
攻击者添加监听器
CobaltStrike->监听器->添加
- 创建监听器->
保存
名字:自定义
Payload:Beacon HTTP
HTTP地址:云函数公网访问URL,选择HTTP的URL
HTTP地址(Stager):云函数公网访问URL,选择HTTP的URL
- 反向连接监听器创建成功后会自动在CobaltStrike服务端监听端口,等待受害者上线
HTTPS
CobaltStrike->监听器->添加
- 创建监听器->
保存
名字:自定义
Payload:Beacon HTTPS
HTTP地址:云函数公网访问URL,选择HTTPS的URL
HTTP地址(Stager):云函数公网访问URL,选择HTTPS的URL
- 反向连接监听器创建成功后会自动在CobaltStrike服务端监听端口,等待受害者上线
攻击者生成木马
攻击->生成后门->Windows可执行程序
监听器选择上一步骤创建的监听器,输出格式选择Windows EXE,根据需要在x64勾选或取消勾选使用x64 payload->生成
受害者执行木马
- 受害者执行木马,会主动连接CobaltStrike服务端,上线成功后,攻击者可以看到新的会话