关于cobaltstrike 3.14生成的https远控木马流量的疑问
最近在看cobaltstrike的马的流量特征,看http的马一切很正常,但是测试https马的时候,发现会发起一个请求地址为:
http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab
这是微软的地址,难道是因为证书原因吗,哪位大佬解释一下。
http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab
这是微软的地址,难道是因为证书原因吗,哪位大佬解释一下。
关于作者
评论21次
证书问题
注入问题?
师傅这个看流量的工具是什么呀
这个是 any run 沙箱,微步在线、VirusTotal 都有类似的功能
以前也注意到流量里有这个问题,不过没有深入去想;现在来看应该是cs马调用WinInet相关的功能,有HTTPS就涉及到证书的问题,这个应该是由xi统底层调用的。可以对比一下HTTP马是否会执行证书查询。
https://support.microsoft.com/zh-cn/help/2677070/an-automatic-updater-of-untrusted-certificates-is-available-for-window 这个应该是去下载受信任的根证书列表,至于为什么去下就不太清楚了。。。
这是cS启动时更新检测版本的吧
看清楚,是exe马发起的,能解释的就是证书
这是cS启动时更新检测版本的吧
c2伪装的?
authrootstl.cab这个文件是解决xi统证书的,应该是证书问题,同好奇你使用的分析工具是啥
https://app.any.run/
authrootstl.cab这个文件是解决xi统证书的,应该是证书问题,同好奇你使用的分析工具是啥
远控马改下gh0st不就好啦 简单方便还免杀
是证书的问题 不要怀疑了
我之前就发帖问过,没找到原因,自己手动破解CS还是这样
老哥最后破解官方的也是这样?
对,最开始以为下载的有问题,论坛热心大佬给了一个原版,我跟着网上教程一步步破解,最后生成https的发现还是这样。。。。
我之前就发帖问过,没找到原因,自己手动破解CS还是这样
老哥最后破解官方的也是这样?
c2伪装的 ?老哥加载了c2的配置嘛?
默认的,配置文件都没指定
c2伪装的 ?老哥加载了c2的配置嘛?
我之前就发帖问过,没找到原因,自己手动破解CS还是这样
师傅这个看流量的工具是什么呀
是不是抓到了机器本身发出的xi统更新请求
由这个exe发起的
是不是抓到了机器本身发出的xi统更新请求
那进程名不是显示是cs马吗