前言
之前用Cobalt Strike做网络安全测试的时候一只被发现,后来看了GitHub一个开源项目发现CS的流量特征可以被检测,相当于可以直接抓到控制端的IP。就想利用Gcore CDN来隐藏后端IP,使BT不能直接发现后端的真实IP。
正文
关于Gcore
Gcore 是公共云和边缘计算、内容交付、托管和安全解决方案的国际领导者,正在管理一个全球基础设施,旨在为企业级企业提供一流的边缘和基于云的服务。Gcore 总部位于卢森堡,在德国、立陶宛、波兰、格鲁吉亚和塞浦路斯设有办事处。
利用Gcore
注册账户
前往账户注册页注册账户。选择免费计划(无需填信用卡),账号配置成功后,可见CDN服务已经激活。
配置C2
在Cobalt Strike中新增一个Listener,按如下配置:
HTTP Hosts:你将要使用Gcore的域名
HTTP Host(stager):你将要使用Gcore的域名
HTTP Port:80
HTTP Port(Bind):任意一个不容易被发现的端口
HTTP Host(stager):你将要使用Gcore的域名
HTTP Port:80
HTTP Port(Bind):任意一个不容易被发现的端口
保存并启动Listener
配置Gcore
点击Creat a CDN resource。选择Accelerate and protect only static assets。进入第二页,在Origin中填写你的C2服务器的IP和端口,Custom Domain中填写你将要使用Gcore的域名。其余默认即可。
添加资源后,进入设置页,关闭CDN caching|Always Online,启用Set-Cookie|Query string。等待Gcore将配置下发至边缘网络即可。
效果
总结
使用Gcore CDN并不能完全免检测,流量特征依然存在。建议配合iptables屏蔽网络测绘的IP后使用自己的C2Profile对流量特征进行修改,达到流量层面的反检测。