Tutoriales

Una característica de Azure que valida y reenvía Cobalt Strike Beacon

AzureC2Relay es una característica de Azure que valida y enruta el tráfico de balizas de Cobalt Strike al efectuar las solicitudes entrantes según un perfil de Cobalt Strike Malleable C2. Cualquier solicitud entrante que los perfiles de agente de afortunado, las rutas de URI, los encabezados y los parámetros de consulta no compartan se redirigen a un sitio web de falsificación configurable.

El tráfico C2 validado se reenvía a un servidor de equipo en el interior de la misma red potencial, que está adicionalmente restringida por un rama de seguridad de red. Permita que la máquina potencial solo exponga SSH.

Proveer

  • AzureC2Relay se proporciona a través de los módulos de Terraform Azure, así como algunos comandos locales de la CLI de Az
  • Asegúrese de tener Terraform, Az Cli y el tiempo de ejecución de Dotnet Core 3.1 instalados
  • Windows (Powershell)

& ([scriptblock]:: Crear ((Invoke-WebRequest -UseBasicParsing ‘https://dot.net/v1/dotnet-install.ps1’)) -runtime dotnet -version 3.1.0
Invoke-WebRequest ‘https://releases.hashicorp.com/terraform/0.14.6/terraform_0.14.6_windows_amd64.zip’ -OutFile ‘terraform.zip’
Expandir-Archivo -Ruta terraform.zip -DestinationPath «$ ([Environment]:: GetFolderPath (‘ApplicationData’)) TerraForm ”
setx RUTA “% RUTA%; PS[Environment]:: GetFolderPath (‘ApplicationData’)) TerraForm ”
Invoke-WebRequest -Uri https://aka.ms/installazurecliwindows -OutFile. AzureCLI.msi; Inicie el proceso msiexec.exe -Wait -ArgumentList ‘/ I AzureCLI.msi / quiet’; rm. AzureCLI.msi

curl -L https://dot.net/v1/dotnet-install.sh | bash -s – –runtime dotnet –version 3.1.0
Puesta al día de cerveza
Brauhahn Hashicorp / Hahn
brew instalar hashicorp / tap / terraform
brew instalar azure-cli

curl -L https://dot.net/v1/dotnet-install.sh | bash -s – –runtime dotnet –version 3.1.0
wget https://releases.hashicorp.com/terraform/0.14.5/terraform_0.14.5_linux_amd64.zip
desempaquetar terraform_0.14.5_linux_amd64.zip
sudo cp terraform / usr / regional / bin / terraform
curl -sL https://aka.ms/InstallAzureCLIDeb | Sudo Bash

curl -L https://dot.net/v1/dotnet-install.sh | bash -s – –runtime dotnet –version 3.1.0
wget https://releases.hashicorp.com/terraform/0.14.5/terraform_0.14.5_linux_amd64.zip
desempaquetar terraform_0.14.5_linux_amd64.zip
sudo cp terraform / usr / regional / bin / terraform
echo «deb [arch=amd64] https://packages.microsoft.com/repos/azure-cli/ align main ”| sudo tee /etc/apt/sources.list.d/azure-cli.list
curl -L https://packages.microsoft.com/keys/microsoft.asc | sudo ampliar apt-key –
sudo apt-get update && sudo apt-get install apt-transport-https azure-cli

LEER  [Solved] Obteniendo el error de GOPATH "ir: no se puede usar la sintaxis de ruta @ versión en el modo GOPATH"
  • Cambiar el primero en variables definidas config.tf para satisfacer sus evacuación
  • Reemplace el muñeco «cobaltstrike-dist.tgz» con una descarga existente de Cobaltstrike
  • Edite / reemplace el perfil maleable en la carpeta Medios (asegúrese de que el nombre de archivo del perfil coincida con las variables establecidas en el Paso 1).
  • Iniciar sesión con Azure az login
  • Pasar terraform init
  • Pasar terraform apply -auto-approve proporcionar la infra
  • ¡Espere a que la CDN surta impresión y disfrute!

Una vez que terraform esté completo, se le dará el comando ssh requerido. El servidor del equipo CobaltStrike se ejecuta en una sesión tmux en la VM proporcionada

Cuando haya terminado con el infra, puede eliminarlo con terraform destroy -auto-approve

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba