关于BeaconEye

BeaconEye是一款针对CobaltStrike的安全工具,该工具可以扫描正在运行的主动CobaltStrike Beacon。当BeaconEye扫描到了正在运行Beacon的进程之后,BeaconEye将会监控每一个进程以查看C2活动。

工作机制

BeaconEye将会扫描活动进程或MiniDump文件,以尝试检测CobaltStrike Beacon。在活动进程模式下,CobaltStrike Beacon可以将其以调试器的身份与目标进程绑定,监控Beacon活动以识别C2流量(当前版本的BeaconEye支持HTTP/HTTPS Beacon)。

用于加密C2数据和mallable配置文件的AES密钥会被动态解码,这将允许BeaconEye能够在操作人员发送命令时提取和解密Beacon的输出。

每个进程都会创建一个活动日志文件夹,该文件夹与执行BeaconEye的当前目录对应。

功能介绍

每个进程一个日志文件夹;

导出Beacon配置;

显示大多数Beacon命令的输出;

保存屏幕截图;

检测单独的和注入的Beacon;

检测使用内置sleep_mask隐藏的Beacon;

扫描正在运行的进程或离线Minidump文件;

工具下载

广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

git clone https://github.com/CCob/BeaconEye.git

工具使用

BeconEye by @_EthicalChaos_CobaltStrike beacon hunter and command monitoring tool x86_64-v, --verbose              开启Verbose模式,显示更多信息-m, --monitor             扫描正在运行的活动进程,与之进行绑定并监控-f, --filter=VALUE           使用名字过滤进程列表(仅活动模式下可用)-d, --dump=VALUE          Minidump模式专用目录(*.dmp或*.mdmp)-h, --help                 显示帮助信息

注意事项

BeaconEye可以检测所有Beacon类型,但只能监控HTTP/HTTPS Beacon。目前,工具只会解码命令输出数据,而不会解码命令请求。

项目地址

BeaconEye:【GitHub传送门】

参考资料

https://github.com/Apr4h/CobaltStrikeScan

https://www.freebuf.com/articles/network/288210.html

如何使用BeaconEye监控CobaltStrike的Beacon相关推荐

  1. CobaltStrike之Beacon命令使用

    文中通过详细讲解CobaltStrike工具,更加深入的掌握CobaltStrike用法:文中内容全由个人理解编制,若有错处,大佬勿喷,个人学艺不精:本文中提到的任何技术都源自于靶场练习,仅供学习参考 ...

  2. 利用Beacon 监控Tuxedo

    BEA的 Tuxedo 产品在金融软件中如雷贯耳,笔者在平日的工作中也大量接触 Tuxedo 产品, 并做一些监控运维工作,但网络上可以查找的 T U XEDO监控资源很少,而 Tuxedo 产品网站 ...

  3. CobaltStrike优质学习资源

    0x00 前言 第一部分是关于CobaltStrike优质文章的集合 关于新特性BOF资源的整合 解决要用的时候找不到合适aggressor script或者BOF的问题 如果有本repo没有涉及的优 ...

  4. 探寻Beacon技术

    原文地址:http://blog.sheliw.com/blog/2014/11/11/ibeacon/ categories: 最近有幸研究一番Beacon,并且也和生产Beacon设备的厂家交流了 ...

  5. CobaltStrike(钓鱼攻击工具)

    一.介绍 1.CobaltStrike是一款渗透测试软件,分为客户端与服务端,可以进行团队分布式操作,服务端:1个,客户端:N个,被业界人称为CS神器. 2.CobaltStrike集成了端口转发.服 ...

  6. 限时7天的附下载链CobaltStrike

    前言 Cobalt Strike 一款以Metasploit为基础的GUI框架式渗透测试工具,集成了端口转发.服务扫描,自动化溢出,多模式端口监听,exe.powershell木马生成等. 钓鱼攻击包 ...

  7. BlueHound 主机威胁狩猎

    最近离职了,换了一家安全公司,已经入职三周了,渐渐的找到了工作的感觉,同时也发现有更多的知识要学习,上周同事分享了一个主机威胁狩猎工具,他自己基于C# 独立完成的[1],非常有意思,据说是比Beaco ...

  8. p74 应急响应-winlinux 分析后门勒索病毒攻击

    数据来源 操作系统(windows,linux)应急响应: 常见危害:暴力破解,漏洞利用,流量攻击,木马控制(Webshell,PC 木马等),病毒感染(挖矿,蠕虫,勒索等) 常见分析:计算机账户,端 ...

  9. saltstack python3_SaltStack事件驱动(3) – BEACONS

    文章目录 [隐藏] 激活一个beacon beacon监控间隔 增加beacon 安装pyinotify和启动event runner 设置一个beacon 到目前为止我们已经学习如何通过事件总线监控 ...

最新文章

  1. Redis的文件格式
  2. Java之 javaObject与jsonString的转换
  3. 史上最全Java多线程面试60题,含答案大赠送!
  4. date转timestamp格式_技术分享 | MySQL:timestamp 时区转换导致 CPU %sy 高的问题
  5. php数组交集方法,PHP获得数组交集与差集的方法
  6. 计算机专业相关的毕业设计论文合集免费下载
  7. c语言 strupr,C语言 strupr()用法及代码示例
  8. 计算机网络存在的漏洞,计算机网络安全漏洞及防范措施
  9. call center外包公司如何营销成“茶颜悦色”?
  10. Hive split()、explode()和lateral view 应用单列,多列炸裂
  11. 转换加密的WMV文件让所其它播放器可以放
  12. Batch Normalization论文翻译——中文版
  13. 鸟哥linux视频教程密码,[鸟哥linux视频教程整理]04_01_Linux用户管理命令详解
  14. LinkedList面试要点总结
  15. 沉痛哀悼我的弟弟-恽小华-南理工教授,候选中科院院士——一声叹息
  16. 程序网络访问出错:lacked sufficient buffer space
  17. 客户画像分析用于贷中监控的案例
  18. 爬虫项目3 - 股票数据爬取
  19. 三星Galaxy s4(i9505)得到完美root权限教程
  20. photoshop CC制作gif动图

热门文章

  1. 42个面向前端开发人员的很棒JavaScript 库和框架
  2. 大学四年努力学好编程
  3. flux和redux
  4. 1521端口已被占用解决方案
  5. linux中md5sum命令使用
  6. MySql自定义函数的定义和使用
  7. 第九章(8)多元函数的极值及求法
  8. vba oracle 查询数据字典,VBA 数据字典编程求助 - Excel VBA开发 - Excel精英培训网 - Powered by Discuz!...
  9. Matlab函数、子函数的定义方法
  10. [论文笔记]Age of Information Aware Radio Resource Management in Veh Net: A Proactive DRL Perspective