前言
环境复现
对于腾讯云函数,如果你的python选择了比较新的python3.7,它是不带request库的,需要你自己安装(python3.6自带这个库)所以建议用3.6版本的python 现在安装库可以不用自己上传zip包了,可以直接在终端使用pip下载 腾讯云只有新版本在线编辑器才能使用终端指令,而且会特别慢特别卡 安装完成后访问80显示404是正常现象,访问后腾讯云出现日志记录就代表成功了 全部安装完成后 cs中的两个上线地址 必须去掉http:// 和 :80,比如 service-xxxxxxxx-xxxxxxxxxx.sh.apigw.tencentcs.com这样的格式,否则不会成功
流量分析
stage下载 beacon的心跳包阶段 执行C2服务器的命令并将结果回传阶段
beacon的心跳包阶段 执行C2服务器的命令并将结果回传阶段
get方法向c2发起心跳请求,同时将宿主机的信息经过公私钥加密后再通过配置文件的加密混淆方式加密再发出stage下载
https://github.com/WBGlIl/CS_Decrypt
/bootstrap-2.min.jsX-Request-Id: 请求的id
X-Api-FuncName: 函数名,比如我在云函数里面设置的就是 test,这个是会被看出来的,所以建议红队伪装一个业务名字
X-Api-AppId: 对应账号但是不是账号,后面说明
X-Api-ServiceId: 服务id
X-Api-HttpHost: 就是把appid 账号id 还有腾讯云函数的域名放一起
X-Api-Status: 200 返回值
X-Api-UpstreamStatus: 200 返回值
心跳包阶段
http-get {set uri "/api/getit";
client {
header "Accept" "*/*";
metadata {
base64;
prepend "SESSIONID=";
header "Cookie";
}
}
命令执行阶段
profile文件分析
set sample_name "t";
set sleeptime "3000";
set jitter "0";
set maxdns "255";
set useragent "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/5.0)";http-get {
set uri "/api/x";client {
header "Accept" "*/*";
metadata {
base64;
prepend "SESSIONID=";
header "Cookie";
}
}
server {
header "Content-Type" "application/ocsp-response";
header "content-transfer-encoding" "binary";
header "Server" "Nodejs";
output {
base64;
print;
}
}
}
http-stager {
set uri_x86 "/vue.min.js";
set uri_x64 "/bootstrap-2.min.js";
}
http-post {
set uri "/api/y";
client {
header "Accept" "*/*";
id {
base64;
prepend "JSESSION=";
header "Cookie";
}
output {
base64;
print;
}
}
server {
header "Content-Type" "application/ocsp-response";
header "content-transfer-encoding" "binary";
header "Connection" "keep-alive";
output {
base64;
print;
}
}
}
全局选项
1 set sleeptime
set sleeptime "3000";2 set jitter
set jitter "0";Append random-length string (up to data_jitter value) to http-get and http-post server output.
3 set maxdns
` set maxdns 是 通过 DNS 上传数据时主机名的最大长度 (0-255)https://hstechdocs.helpsystems.com/manuals/cobaltstrike/current/userguide/content/topics/malleable-c2_dns-beacons.htm?Highlight=maxdns
4 set useragent
https://hstechdocs.helpsystems.com/manuals/cobaltstrike/current/userguide/content/topics/malleable-c2_profile-language.htm#_Toc65482842
局部选项
# this is a comment
http-get {
set uri "/api/x";client {
header "Accept" "*/*";
metadata {
base64;
prepend "SESSIONID=";
header "Cookie";
}
}
server {
header "Content-Type" "application/ocsp-response";
header "content-transfer-encoding" "binary";
header "Server" "Nodejs";
output {
base64;
print;
}
}
}
set uri
client
metadata {
base64;
prepend "SESSIONID=";
header "Cookie";
}
server
output {
base64;
print;
}
分析与反制思路
判断流量特征 如果是stage,会有一个payload下载阶段,大小约为210kb,payload未解密之前间隔有大批量重复字符串(cs本身特征) 未经魔改的云函数配置在stage下载阶段访问/bootstrap-2.min.js (配置文件特征),同时返回包有很大一串加密数据,且路径的ascii之和与256取余计算值等于92(cs本身特征) 未经魔改的云函数会访问/api/getit这样类似api的模式,可以重点关注(配置文件特征) 云函数的host是 service-173y3w0z-xxxxxxxxxx.sh.apigw.tencentcs.com这样的格式,有点类似域前置,host为白域名,可以着重注意host为apigw.tencentcs.com格式的流量,如果业务部门没有这样的业务,特殊时期,可以直接封禁这个域名apigw.tencentcs.com(云函数特征)请求头中会有云函数的特有特征,如 X-Request-Id: 请求的id
X-Api-FuncName: 函数名
X-Api-AppId: 对应账号但是不是账号
X-Api-ServiceId: 服务id
X-Api-HttpHost: 就是把appid 账号id 还有腾讯云函数的域名放一起
X-Api-Status: 200 返回值
X-Api-UpstreamStatus: 200 返回值抓包看流量,通信的IP是腾讯云的CDN服务器IP 反制手段 截图举报 收集好证据,主要是 host名 X-Api-FuncName X-Api-AppId 这些带有明显云函数的特征的证据,(X-Api-AppId这个很重要)说明该人正在使用云函数对我司进行恶意攻击,请求对其暂时封禁. 虚假上线 重放心跳包进行上线,但是红队无法执行任何命令 消耗云函数额度 云函数隐藏C2 和 cdn很像,都有同一个弱点,就是访问是需要计费的,所以可以使用脚本把红队的额度跑掉就好,这样红队的所有马都无法上线 工具 https://github.com/a1phaboy/MenoyGone 批量上线钓鱼马 从cs客户端可以看出,上线后的ip过一会就会自动变一次(云函数特性),一次性上线大量ip会让红队直接无法分辨(直接放同一个虚拟机都行,因为每次云函数的特性,所以每个心跳包都是一个新的请求,都会分配一个新ip)
如有侵权,请联系删除
推荐阅读
如有侵权请联系:admin#unsafe.sh