当前位置: 首页 > news >正文

如何使用BeaconEye监控CobaltStrike的Beacon

关于BeaconEye

BeaconEye是一款针对CobaltStrike的安全工具,该工具可以扫描正在运行的主动CobaltStrike
Beacon。当BeaconEye扫描到了正在运行Beacon的进程之后,BeaconEye将会监控每一个进程以查看C2活动。

工作机制

BeaconEye将会扫描活动进程或MiniDump文件,以尝试检测CobaltStrike Beacon。在活动进程模式下,CobaltStrike
Beacon可以将其以调试器的身份与目标进程绑定,监控Beacon活动以识别C2流量(当前版本的BeaconEye支持HTTP/HTTPS Beacon)。

用于加密C2数据和mallable配置文件的AES密钥会被动态解码,这将允许BeaconEye能够在操作人员发送命令时提取和解密Beacon的输出。

每个进程都会创建一个活动日志文件夹,该文件夹与执行BeaconEye的当前目录对应。

功能介绍

每个进程一个日志文件夹;

导出Beacon配置;

显示大多数Beacon命令的输出;

保存屏幕截图;

检测单独的和注入的Beacon;

检测使用内置sleep_mask隐藏的Beacon;

扫描正在运行的进程或离线Minidump文件;

工具下载

广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

git clone https://github.com/CCob/BeaconEye.git

工具使用

BeconEye by @_EthicalChaos_CobaltStrike beacon hunter and command monitoring tool x86_64-v, --verbose              开启Verbose模式,显示更多信息-m, --monitor             扫描正在运行的活动进程,与之进行绑定并监控-f, --filter=VALUE           使用名字过滤进程列表(仅活动模式下可用)-d, --dump=VALUE          Minidump模式专用目录(*.dmp或*.mdmp)-h, --help                 显示帮助信息

注意事项

BeaconEye可以检测所有Beacon类型,但只能监控HTTP/HTTPS Beacon。目前,工具只会解码命令输出数据,而不会解码命令请求。

最后

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供:


当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。

因篇幅有限,仅展示部分资料,有需要的小伙伴,可以【扫下方二维码】免费领取:

http://www.lryc.cn/news/25074.html

相关文章:

  • STM32开发(17)----CubeMX配置CRC
  • 【MySQL】基础操作:登录、访问、退出和卸载
  • 【算法经典题集】递推(持续更新~~~)
  • mysql兼容性验证
  • C++回顾(五)—— 构造函数和析构函数
  • 嵌入式学习笔记——概述
  • 化繁为简高效部署 华为云发布部署服务CodeArts Deploy
  • 注意力机制详解系列(四):混合注意力机制
  • Makefiles学习1
  • 日志框架以及如何使用LogBack记录程序
  • 集成RocketChat至现有的.Net项目中,为ChatGPT铺路
  • 王道操作系统课代表 - 考研计算机 第三章 内存管理 究极精华总结笔记
  • Cypher中的聚合
  • 图注意网络GAT理解及Pytorch代码实现【PyGAT代码详细注释】
  • 项目成本管理中的常见误区及解决方案
  • 墨天轮2022年度数据库获奖名单
  • 仓储调度|库存管理系统
  • Canvas入门-01
  • 运算符优先级
  • 微信小程序使用scss编译wxss文件的配置步骤
  • 一步一步教你如何使用 Visual Studio Code 编译一段 C# 代码
  • vue-cli中的环境变量注意点
  • 2.3数据类型
  • Kafka基本概念
  • 使用QueryBuilders、NativeSearchQuery实现复杂查询
  • taobao.open.account.update( Open Account数据更新 )
  • PT100铂电阻温度传感器
  • 蓝桥杯-本质上升序列
  • synchronized锁重入验证
  • 超简单的计数排序!!