Указатель: разработан для массового поиска и картографирования серверов Cobalt Strike, выставленных в Интернете.

задняя часть
Указатель: разработан для массового поиска и картографирования серверов Cobalt Strike, выставленных в Интернете.

описывать

Pointer was developed for massive hunting and mapping Cobalt Strike servers exposed on the internet

Указатели были разработаны для поиска и картирования серверов Cobalt Strike, выставленных в Интернете. Инструмент включает полный метод идентификации серверов Cobalt Strike. Его цель — ускорить процесс обнаружения серверов Cobalt Strike среди большого количества потенциальных целей за короткий промежуток времени.
Сканирование 250 000 целей стоит около 20 долларов, но мы ищем решение, которое сделает его еще дешевле.

Отказ от ответственности

Инструмент находится в стадии бета-тестирования (идет тестирование). Основные компоненты инструмента подробно описаны в блоге, написанном Павлом Шабаркиным и Михаилом Козвалой.: https://medium.com/@sabahankin/pointer-hunting-cobalt-st K-globally-ah334AC50619ah

Я рекомендую использовать отдельную учетную запись AWS для сканирования и сопоставления серверов Cobalt Strike.

Установить

$PATHЕсли у вас установлен и настроен Go (т.$GOPATH/bin).

sudo go get -u github.com/shabarkin/pointer

или

sudo git clone https://github.com/shabarkin/pointer.git

sudo go build .

Основное использование

Инструмент разработан на основе сервисов AWS SQS, Lambda и DynamoDB, в основном сервисов на базе AWS. У указателя естьconfigureПодкоманды для автоматического развертывания служб IAM, Lambda, SQS, DynamoDB и Autoscaling. Чтобы настроить все эти службы, Pointer нужны разрешения на управление ими, для простоты мы рекомендуем предоставить Pointer учетную запись типа администратора, которая включает все необходимые разрешения. Вот почему я рекомендую использовать отдельную учетную запись AWS, особенно когда вы используете другие функции Lambda в учетной записи AWS.

Создайте учетную запись пользователя AWS в консоли AWS.

инструкция

  1. Консоль AWS → IAM → Группы пользователей → Создать группу → 1. Укажите имя группы 2. Прикрепите политику разрешений «AdministratorAccess».
  2. Консоль AWS → IAM → Пользователи → Добавить пользователя → 1. Укажите имя пользователя. 2. Выберите «Ключи доступа — Программный доступ» → Добавить пользователя в группу (то, что мы уже создали).

видео

Pointer was developed for massive hunting and mapping Cobalt Strike servers exposed on the internet

установить учетные данные

**ВНИМАНИЕ!** Требования к действиям по настройкеfunction.zipФайл находится в каталоге, в котором пользователь выполнил команду.function.zipФайл на самом деле представляет собой «сервер указателей», который скомпилирован и сжат в формат, необходимый для развертывания Lambda.

Pointer was developed for massive hunting and mapping Cobalt Strike servers exposed on the internet

Указатель имеетconfigureПодкоманда с двумя вариантами.

  1. Чтобы автоматически развернуть среду AWS, необходимо предоставить учетные данные AWS для учетной записи управления.
./pointer configure -aws_access_key_id AKIA85CEHPO3GLIABKZD -aws_secret_access_key LW3bDF8xJvzGgArqMo0h4kuCYsnubU23kGICGp/p

Pointer was developed for massive hunting and mapping Cobalt Strike servers exposed on the internet

  1. Очистите настроенную среду AWS
./pointer configure -clear

Pointer was developed for massive hunting and mapping Cobalt Strike servers exposed on the internet

**ВНИМАНИЕ!** Создается.envфайл, который загружается в глобальную переменную каждый раз, когда вы вызываете подкоманду.

Pointer was developed for massive hunting and mapping Cobalt Strike servers exposed on the internet

сканирование

scanПодкоманда включает 3 опции. 1. Запустите сканирование 2. Остановите сканирование 3. Проверьте состояние сканирования

начать сканирование

Инструмент указателя анализирует локальный файл json (ips.json), оптимально разделить его на пакеты (10 IP-адресов) и добавить ожидающие пакеты в очередь SQS.

./pointer scan -targets ips.json

ips.jsonформат файла.

{
     “ IPS ”:
         “ 1.116.119.120 ”,
         “ 1.116.158.193 ”,
         “ 1.116.186.39 ”,
         “ 1.116.207.171 ”,
         “ 1.116.246.188 ”,
         ...
    ]
}

Pointer was developed for massive hunting and mapping Cobalt Strike servers exposed on the internet

Проверить статус сканирования

Указатель извлекает информацию об очереди SQS, сколько пакетов находится в очереди и ожидает сканирования, а также сколько пакетов обрабатывается в текущий момент.

./pointer scan -status

Pointer was developed for massive hunting and mapping Cobalt Strike servers exposed on the internet

остановить сканирование

Чтобы остановить сканирование, Pointer очищает все сообщения (пакеты) в очереди SQS.

./pointer scan -stop

Pointer was developed for massive hunting and mapping Cobalt Strike servers exposed on the internet

свалка

Все результаты сканирования сохраняются в таблицах DynamoDB: 1.Targets, 2.Beacons.

./pointer dump -outfile 23.09.2021

Pointer was developed for massive hunting and mapping Cobalt Strike servers exposed on the internet

resultsЕдинственным контролируемым параметром является суффикс выходного файла, все выгруженные результаты сохраняются в.csv.jsonпапка (текущий каталог).

Pointer was developed for massive hunting and mapping Cobalt Strike servers exposed on the internet

**ВНИМАНИЕ:** Указатель очищает таблицу DynamoDB после дампа результатов, поэтому у вас не будет резервной копии полученных результатов, а только сохранение вresultsтот что в папке.

Вы можете найти образцы данных здесь : https://docs.Google.com/spreadsheets//1AK SZ GD правый 8 живот 97RN fr7BS0 I 2HC or52IR CFA SM также-OE JT U/edit

демонстрационное видео

Pointer was developed for massive hunting and mapping Cobalt Strike servers exposed on the internet

GitHub

GitHub.com/Сабаханкин/Боюсь…

Категории