微步通过针对Team Server的通信扫描、请求Beacon staging server获取Beacon的配置信息的扫描和DNS隧道扫描等多达十余种方法对Cobalt Strike进行扫描识别,能够明显弥补单一方式对Cobalt Strike识别的不足,资产测绘数据的识别覆盖领先国内外同行的类似平台,持续不断的为社区和微步客户提供优质的威胁情报数据。
开打第2天,作为rt最喜欢的远控武器,CS相关的告警果不其然快速登顶,我们综合了情报和资产测绘,统计了过去3天全网最为活跃的Top 10的CS域名,情报如下!
service-015bci0f-1251065511.bj.apigw.tencentcs.com
此外,我们已经按照ATT&CK模型框架从资源开发、执行、持久化、命令与控制等几个步骤,结合微步X情报社区资产测绘产品组件的识别,梳理了攻防对抗中常用的五种类型工具:资产指纹扫描和漏洞扫描工具、邮件钓鱼平台、自动化渗透测试平台、内外网隧道工具以及用于远程命令行控制工具,以下是常用工具的搜索语法,可转需,可先马后用!
1. 资产扫描和漏洞扫描工具
| 产品 | 搜索语法 |
| Nessus | app=Nessus |
| 资产灯塔系统 | app=ARL资产灯塔系统 |
| AWVS | app=Invicti-AWVS |
| Greenbone | app=Greenbone |
| Nexpose | app=Nexpose-Security-Console |
| 长亭科技XRay | app=长亭科技-XRAY |
| Faraday | app=Faraday扫描 |
2. 网站渗透测试平台
| 产品 | 搜索语法 |
| 资产灯塔系统 | app=ARL资产灯塔系统 |
| Daybreak | app= daybreak管理平台 |
| Nemo | app=Nemo扫描工具 前身为 app=Mars(战神) |
3. 隧道透协议或平台
| 产品 | 搜索语法 |
| Frp | protocol=frp |
| Nps | app=nps 和 protocol=nps |
| Gost | app=gost |
| Ngrok | protocol=ngrok |
| Metasploit | app=Metasploit 和 procotol=meterpreter |
| Viper | app=viper |
4. 钓鱼框架平台
| 产品 | 搜索语法 |
| Gophish | app=Gophish |
| Evilginx | app=Evilginx |
| Firephish | app=Firephish |
5. 远程命令行控制工具
| 产品 | 搜索语法 |
| CobaltStrike | app=CobaltStrikeBeacon |
| Viper | app=viper |
| Metasploit | app=Metasploit |
| Brute-Ratel-C4 | app=Brute-Ratel-C4-C2 |
| Pupy | app=PupyRAT |
| Quasar | app=QuasarRAT |
关于X情报社区资产测绘
体验X社区资产测绘
原文始发于微信公众号(微步在线):Day 2 | 最嚣张的10个CS登场,IOC附上
