一、环境
Cobalt strike4.4
VPS(服务器)
域名
二、域名解析配置
一条A记录,一条NS记录
1、申请一个域名
【WWW.XX#X.TK]
2、配置解析记录
此次使用的是CDN配置
地址:https://dash.cloudflare.com/
1 | NS记录:NS1 NS1.xxx.tk WWW.xxx.tk |
3、等待生效
时间比较久
三、CS DNS Beacon
1、VPS运行服务端
1 | ./teamserver VPS-IP Password |
2、本地机器添加监听
DNS-HOSTS 使用的是NS的域名
3、生成木马
4、上线
目标机执行木马,但默认情况下主机信息是黑色,需要执行
1 | checkin |
四、CS上线流量特征
受害机器发送大量的请求包,并且很多流量包中请求和响应的的域名较长
- 过滤查询域名长度超过一定数值时判定为可疑
- 大量请求同一个二级域名,并且查询结果为0.0.0.0,查询状态为成功