Cobalt Strike C2 Profile 用途
关于 CobaltStrike C2 profile 的实际用途
从上面我们只是简单粗略的了解到 C2 的整个详细通信过程,但对于其内部的流量数据格式,我们暂时还完全未知,比如,你的 C2 是用什么协议传输的,是 http, https, 还是 dns, 或者内网的 smb 协议 等等等...再比如,假设是你是用的 http 进行传输,那么你的 http 请求响应头中的各个字段值又都是怎么设置的呢 ? 能不能实现自定义呢? 再比如,现在默认是每 60 秒才往 C2 服务器发送一次心跳,我现在想更快一点,比如,5 秒就发一次,这个又是在哪里控制的呢? 等等等...诸如此类的,紧接着我们就来简单说下这个东西,其实对于 负载[payload]行为和协议流量特征 方面的的控制全部都可以在 CobaltStrike profile 文件中进行自定义,比如,我想让它[payload]模拟正常的浏览器请求 [ 模拟正常请求进行数据收发的目的,无非就是为了以此种方式来绕过某些简易 ids 的流量审查 ],你就可以把对应浏览器的正常的请求头部的内容全部撸过来放到我们的 profile 的 client 段里,比如,你想伪造哪种 web 服务器响应,就去找那个对应的 web 服务器类型然后把返回的正常的响应头中的数据全部给撸过来放到我们的 profile server 段里,比如,你想让负载每 5 秒就回连一次,也一样可以把它定义到 profile 里...由于本系列为 CobaltStrike 入门阶段学习,此处就不详细的带着弟兄们去了解 profile 语法及实际编写了,其实稍微有点儿基础,看两眼就明白了,我们就直接用别人已经写好的 profile 来看看实际修改后效果