C2服务器隐藏

C2服务器隐藏

服务端配置

服务器禁ping

编辑文件/etc/sysctl.conf，在里面增加一行：

net.ipv4.icmp_echo_ignore_all=1

之后使命命令使配置生效:

sysctl -p

这样可以使服务器被ping探测时被判定为未存活，但依旧会被nmap扫描到

默认端口更改

没什么好说的，将原本的50050更改到一个不常用端口即可：

修改默认证书

因为cs服务端生成的证书含有cs的相关特征所有，所以需要进行修改替换，方法有修改密钥库和修改启动文件，这里我选择第一种：

• 删除密钥库文件cobaltstrike.store

  rm -rf cobaltstrike.store 
  

• 生成新的密钥库文件

  keytool -keystore  ./cobaltstrike.store -storepass 051024 -keypass 051024 -genkey -keyalg  RSA -alias baidu -dname "CN=baidu.com, OU=service operation department,  O=Beijing Baidu Netcom Science Technology Co.\, Ltd, L=beijing,  S=beijing, C=CN"
  

  

• 可以查看新的证书：

  keytool -list -keystore cobaltstrike.store
  

• 可以启动teamserver查看签名是否更改：

C2侧写(profile)隐藏流量

profile可以把c2的流量混淆到一些正常的请求中，减少流量特征

我用的是已经二开了的猫猫CS，已经自带伪装jquery请求的profile，当然用户也可以自己配置：

使用CDN隐藏真实IP

这一步不论是域名购买、邮箱注册、CDN申请都最好使用国外或匿名，财力不足暂时搁置。。。

反向代理

当然，我们还可以使用反向代理进行IP的隐藏