
AzureC2Relay es una característica de Azure que valida y enruta el tráfico de balizas de Cobalt Strike al efectuar las solicitudes entrantes según un perfil de Cobalt Strike Malleable C2. Cualquier solicitud entrante que los perfiles de agente de afortunado, las rutas de URI, los encabezados y los parámetros de consulta no compartan se redirigen a un sitio web de falsificación configurable.
El tráfico C2 validado se reenvía a un servidor de equipo en el interior de la misma red potencial, que está adicionalmente restringida por un rama de seguridad de red. Permita que la máquina potencial solo exponga SSH.
Proveer
- AzureC2Relay se proporciona a través de los módulos de Terraform Azure, así como algunos comandos locales de la CLI de Az
- Asegúrese de tener Terraform, Az Cli y el tiempo de ejecución de Dotnet Core 3.1 instalados
- Windows (Powershell)
& ([scriptblock]:: Crear ((Invoke-WebRequest -UseBasicParsing ‘https://dot.net/v1/dotnet-install.ps1’)) -runtime dotnet -version 3.1.0
Invoke-WebRequest ‘https://releases.hashicorp.com/terraform/0.14.6/terraform_0.14.6_windows_amd64.zip’ -OutFile ‘terraform.zip’
Expandir-Archivo -Ruta terraform.zip -DestinationPath «$ ([Environment]:: GetFolderPath (‘ApplicationData’)) TerraForm ”
setx RUTA “% RUTA%; PS[Environment]:: GetFolderPath (‘ApplicationData’)) TerraForm ”
Invoke-WebRequest -Uri https://aka.ms/installazurecliwindows -OutFile. AzureCLI.msi; Inicie el proceso msiexec.exe -Wait -ArgumentList ‘/ I AzureCLI.msi / quiet’; rm. AzureCLI.msi
curl -L https://dot.net/v1/dotnet-install.sh | bash -s – –runtime dotnet –version 3.1.0
Puesta al día de cerveza
Brauhahn Hashicorp / Hahn
brew instalar hashicorp / tap / terraform
brew instalar azure-cli
curl -L https://dot.net/v1/dotnet-install.sh | bash -s – –runtime dotnet –version 3.1.0
wget https://releases.hashicorp.com/terraform/0.14.5/terraform_0.14.5_linux_amd64.zip
desempaquetar terraform_0.14.5_linux_amd64.zip
sudo cp terraform / usr / regional / bin / terraform
curl -sL https://aka.ms/InstallAzureCLIDeb | Sudo Bash
curl -L https://dot.net/v1/dotnet-install.sh | bash -s – –runtime dotnet –version 3.1.0
wget https://releases.hashicorp.com/terraform/0.14.5/terraform_0.14.5_linux_amd64.zip
desempaquetar terraform_0.14.5_linux_amd64.zip
sudo cp terraform / usr / regional / bin / terraform
echo «deb [arch=amd64] https://packages.microsoft.com/repos/azure-cli/ align main ”| sudo tee /etc/apt/sources.list.d/azure-cli.list
curl -L https://packages.microsoft.com/keys/microsoft.asc | sudo ampliar apt-key –
sudo apt-get update && sudo apt-get install apt-transport-https azure-cli
- Cambiar el primero en variables definidas
config.tf
para satisfacer sus evacuación - Reemplace el muñeco «cobaltstrike-dist.tgz» con una descarga existente de Cobaltstrike
- Edite / reemplace el perfil maleable en la carpeta Medios (asegúrese de que el nombre de archivo del perfil coincida con las variables establecidas en el Paso 1).
- Iniciar sesión con Azure
az login
- Pasar
terraform init
- Pasar
terraform apply -auto-approve
proporcionar la infra - ¡Espere a que la CDN surta impresión y disfrute!
Una vez que terraform esté completo, se le dará el comando ssh requerido. El servidor del equipo CobaltStrike se ejecuta en una sesión tmux en la VM proporcionada
Cuando haya terminado con el infra, puede eliminarlo con terraform destroy -auto-approve