告警流量分析：Cobalt Strike（默认实验文）

文章目录

前言
从去除流量特征反推
分析流量包
- 200815084549005001_tmp.pcap - 无有用信息
- 200929112751005001_tmp.pcap - 无有用信息
- - 流量包协议
  - 可疑 IP 地址
  - 犯错 - one hour passed
- 201021151312005001_tmp.pcap - 有用信息
- - 第一段数据
  - TCP 流所有 description
  - 源地址筛选：ip.src == 10.160.161.16
  - 源地址筛选：ip.src == 10.150.187.155
总结

前言

软件一般都有流量特征，比如 SQLMap 默认有请求头指纹，这种情况分析 http 流量可以找到哪些包来自 SQLMap，通过 UA 插件修改该指纹就是隐藏特征。Cobalt Strike 也有默认证书、流量特征等，通过这些数据来判断是否被 Cobalt Strike 控制。

从去除流量特征反推

参考：

CobaltStrike去除流量特征-2021/03
Cobalt Strike 的特征与隐藏-2021/05

Cobalt Strike 服务端和客户端是通过 SSL 加密通讯的，SSL配置文件和代理配置文件由于默认配置，导致 keystore 文件内容通常被用于防火墙识别。

Cobalt Strike 本地密钥文件：cobaltstrike.store

SSL 证书流量特征：
keystore type: jks
Alias name: cobaltstrike
Own: CN=Major Cobalt Strike
Issuer: CN=Major Cobalt Strike

CS 默认端口：50050
默认 C/S 端通讯证书：字段和固定哈希值识别
HTTP 流量特征：请求的固定地址，请求头等？

分析流量包

200815084549005001_tmp.pcap - 无有用信息

The file “200815084549005001_tmp.pcap” isn’t a capture file in a format Wireshark understands.

200929112751005001_tmp.pcap - 无有用信息

流量包协议

文件共有 40 个包，使用的协议都是 TCP，没有 Http 流量。

可疑 IP 地址

公网地址 10.160.161.18 ，访问微步在线威胁情报社区查询显示 安全，不是恶意服务器。

Nmap 探测 50050 端口，显示 filtered，默认探测全是 filtered，不会是 PC 吧，但 PC 一般拿不到 A 段地址。
使用 CS 客户端尝试连接该 Server 端，返回 Connection timed out
测试网络连接，发现 ping 不通，应该有防火墙。
查看 TCP 流量包，硬件地址是 Dell_e8:1e:b5（f0:d4:e2:e8:1e:b5）。

跟踪 TCP 流，基本都显示如下的状态，搜索不到关键词 cobalt 。

犯错 - one hour passed

参考：

cobalt strike各种beacon的详解（http/https/tcp）
Cobalt Strike 4.0 官方教程

然后在这个数据包卡了一个小时，思考 TCP 通信方式应该是可以执行命令的。想找 Cobalt Strike 的通信模型，确定 TCP 通信是否能对得上……

看到了 Beacon 的通信方式又怎样，这个数据包基本没有价值。对着数据包神游一个小时，直到我打开下一个数据包追踪 TCP 流……气蠢中夹杂一丝欣喜。

201021151312005001_tmp.pcap - 有用信息

流量包协议：文件共有 61 个包，使用的协议都是 TCP，没有 Http 流量。追踪 TCP 数据流，发现与 Cobalt Strike 相关数据。

第一段数据

追踪组合 TCP 数据流，得到的第一段数据如下，跨越长度为 3-4 条记录，属于攻击者向服务器发送的数据包。

{"author": ["Elastic"],"description": "Cobalt Strike is a threat emulation platform commonly modified and used by adversaries to conduct network attack and exploitation campaigns. This rule detects a network activity algorithm leveraged by Cobalt Strike implant beacons for command and control.","false_positives": ["This rule should be tailored to either exclude systems, as sources or destinations, in which this behavior is expected."],"index": ["packetbeat-*"],"language": "lucene","license": "Elastic License","name": "Cobalt Strike Command and Control Beacon","note": "This activity has been observed in FIN7 campaigns.","query": "event.category:(network OR network_traffic) AND type:(tls OR http) AND network.transport:tcp AND destination.domain:/[a-z]{3}.stage.[0-9]{8}\\..*/","references": ["https://blog.morphisec.com/fin7-attacks-restaurant-industry","https://www.fireeye.com/blog/threat-research/2017/04/fin7-phishing-lnk.html"],"risk_score": 73,"rule_id": "cf53f532-9cc9-445a-9ae7-fced307ec53c","severity": "high","tags": ["Elastic","Network","Threat Detection","Command and Control"],"threat": [{"framework": "MITRE ATT&CK","tactic": {"id": "TA0011","name": "Command and Control","reference": "https://attack.mitre.org/tactics/TA0011/"},"technique": [{"id": "T1071","name": "Application Layer Protocol","reference": "https://attack.mitre.org/techniques/T1071/"},{"id": "T1568","name": "Dynamic Resolution","reference": "https://attack.mitre.org/techniques/T1568/","subtechnique": [{"id": "T1568.002","name": "Domain Generation Algorithms","reference": "https://attack.mitre.org/techniques/T1568/002/"}]}]}],"timestamp_override": "event.ingested","type": "query","version": 3
}

分析该数据字典，共有 18 个键

18 键名	键值
author
description	This rule 检测一个 C2 beacon 可利用的网络活动算法
false_positives	？
index	？
language	lucene，Apache发布的开源全文检索引擎工具包
license	Elastic License？
name	CS C2 Beacon
note	此活动已在 FIN7 活动中观察到，FIN7是一个国际APT组织
query
references
risk_score	73
rule_id	cf53f532-9cc9-445a-9ae7-fced307ec53c，这是平台检测规则
severity
tags
threat
timestamp_override
type
version

TCP 流所有 description

rule_id	description
cf53f532-9cc9-445a-9ae7-fced307ec53c	检测 C2 beacon 可利用的网络活动算法
e7075e8d-a966-458e-a183-85cd331af255	检测 CS 默认 TLS 证书的使用
66883649-f908-4a5b-a1e0-54090a1d3a32	使用 Web 服务混入合法攻击流量
6ea71ff0-9e95-475b-9506-2580d1ce6154	检测内部网络客户端何时将 DNS 流量直接发送到 Internet
无，后半段数据大量 function()	标识大量 (15) nslookup.exe 执行，其具有来自同一主机的显式查询类型

源地址筛选：ip.src == 10.160.161.16

同上【TCP 流所有 description】，组合得到 5 个完整的 TCP 数据包。

源地址筛选：ip.src == 10.150.187.155

发送 TCP 数据流的数据长度都为0。

总结

某个防护设备更新了 5条与 cobalt strike 相关的检测规则，导致误报。

没有推测出是哪家威胁防护平台的规则。