如何使用BeaconEye监控CobaltStrike的Beacon
关于BeaconEye
BeaconEye是一款针对CobaltStrike的安全工具,该工具可以扫描正在运行的主动CobaltStrike Beacon。当BeaconEye扫描到了正在运行Beacon的进程之后,BeaconEye将会监控每一个进程以查看C2活动。
工作机制
BeaconEye将会扫描活动进程或MiniDump文件,以尝试检测CobaltStrike Beacon。在活动进程模式下,CobaltStrike Beacon可以将其以调试器的身份与目标进程绑定,监控Beacon活动以识别C2流量(当前版本的BeaconEye支持HTTP/HTTPS Beacon)。
用于加密C2数据和mallable配置文件的AES密钥会被动态解码,这将允许BeaconEye能够在操作人员发送命令时提取和解密Beacon的输出。
每个进程都会创建一个活动日志文件夹,该文件夹与执行BeaconEye的当前目录对应。
功能介绍
每个进程一个日志文件夹;
导出Beacon配置;
显示大多数Beacon命令的输出;
保存屏幕截图;
检测单独的和注入的Beacon;
检测使用内置sleep_mask隐藏的Beacon;
扫描正在运行的进程或离线Minidump文件;
工具下载
广大研究人员可以直接使用下列命令将该项目源码克隆至本地:
git clone https://github.com/CCob/BeaconEye.git
工具使用
BeconEye by @_EthicalChaos_CobaltStrike beacon hunter and command monitoring tool x86_64-v, --verbose 开启Verbose模式,显示更多信息-m, --monitor 扫描正在运行的活动进程,与之进行绑定并监控-f, --filter=VALUE 使用名字过滤进程列表(仅活动模式下可用)-d, --dump=VALUE Minidump模式专用目录(*.dmp或*.mdmp)-h, --help 显示帮助信息
注意事项
BeaconEye可以检测所有Beacon类型,但只能监控HTTP/HTTPS Beacon。目前,工具只会解码命令输出数据,而不会解码命令请求。
项目地址
BeaconEye:【GitHub传送门】
参考资料
https://github.com/Apr4h/CobaltStrikeScan
https://www.freebuf.com/articles/network/288210.html
如何使用BeaconEye监控CobaltStrike的Beacon相关推荐
- CobaltStrike之Beacon命令使用
文中通过详细讲解CobaltStrike工具,更加深入的掌握CobaltStrike用法:文中内容全由个人理解编制,若有错处,大佬勿喷,个人学艺不精:本文中提到的任何技术都源自于靶场练习,仅供学习参考 ...
- 利用Beacon 监控Tuxedo
BEA的 Tuxedo 产品在金融软件中如雷贯耳,笔者在平日的工作中也大量接触 Tuxedo 产品, 并做一些监控运维工作,但网络上可以查找的 T U XEDO监控资源很少,而 Tuxedo 产品网站 ...
- CobaltStrike优质学习资源
0x00 前言 第一部分是关于CobaltStrike优质文章的集合 关于新特性BOF资源的整合 解决要用的时候找不到合适aggressor script或者BOF的问题 如果有本repo没有涉及的优 ...
- 探寻Beacon技术
原文地址:http://blog.sheliw.com/blog/2014/11/11/ibeacon/ categories: 最近有幸研究一番Beacon,并且也和生产Beacon设备的厂家交流了 ...
- CobaltStrike(钓鱼攻击工具)
一.介绍 1.CobaltStrike是一款渗透测试软件,分为客户端与服务端,可以进行团队分布式操作,服务端:1个,客户端:N个,被业界人称为CS神器. 2.CobaltStrike集成了端口转发.服 ...
- 限时7天的附下载链CobaltStrike
前言 Cobalt Strike 一款以Metasploit为基础的GUI框架式渗透测试工具,集成了端口转发.服务扫描,自动化溢出,多模式端口监听,exe.powershell木马生成等. 钓鱼攻击包 ...
- BlueHound 主机威胁狩猎
最近离职了,换了一家安全公司,已经入职三周了,渐渐的找到了工作的感觉,同时也发现有更多的知识要学习,上周同事分享了一个主机威胁狩猎工具,他自己基于C# 独立完成的[1],非常有意思,据说是比Beaco ...
- p74 应急响应-winlinux 分析后门勒索病毒攻击
数据来源 操作系统(windows,linux)应急响应: 常见危害:暴力破解,漏洞利用,流量攻击,木马控制(Webshell,PC 木马等),病毒感染(挖矿,蠕虫,勒索等) 常见分析:计算机账户,端 ...
- saltstack python3_SaltStack事件驱动(3) – BEACONS
文章目录 [隐藏] 激活一个beacon beacon监控间隔 增加beacon 安装pyinotify和启动event runner 设置一个beacon 到目前为止我们已经学习如何通过事件总线监控 ...
最新文章
- Redis的文件格式
- Java之 javaObject与jsonString的转换
- 史上最全Java多线程面试60题,含答案大赠送!
- date转timestamp格式_技术分享 | MySQL:timestamp 时区转换导致 CPU %sy 高的问题
- php数组交集方法,PHP获得数组交集与差集的方法
- 计算机专业相关的毕业设计论文合集免费下载
- c语言 strupr,C语言 strupr()用法及代码示例
- 计算机网络存在的漏洞,计算机网络安全漏洞及防范措施
- call center外包公司如何营销成“茶颜悦色”?
- Hive split()、explode()和lateral view 应用单列,多列炸裂
- 转换加密的WMV文件让所其它播放器可以放
- Batch Normalization论文翻译——中文版
- 鸟哥linux视频教程密码,[鸟哥linux视频教程整理]04_01_Linux用户管理命令详解
- LinkedList面试要点总结
- 沉痛哀悼我的弟弟-恽小华-南理工教授,候选中科院院士——一声叹息
- 程序网络访问出错:lacked sufficient buffer space
- 客户画像分析用于贷中监控的案例
- 爬虫项目3 - 股票数据爬取
- 三星Galaxy s4(i9505)得到完美root权限教程
- photoshop CC制作gif动图
热门文章
- 42个面向前端开发人员的很棒JavaScript 库和框架
- 大学四年努力学好编程
- flux和redux
- 1521端口已被占用解决方案
- linux中md5sum命令使用
- MySql自定义函数的定义和使用
- 第九章(8)多元函数的极值及求法
- vba oracle 查询数据字典,VBA 数据字典编程求助 - Excel VBA开发 - Excel精英培训网 - Powered by Discuz!...
- Matlab函数、子函数的定义方法
- [论文笔记]Age of Information Aware Radio Resource Management in Veh Net: A Proactive DRL Perspective