当前位置：首页 > news >正文

如何使用BeaconEye监控CobaltStrike的Beacon

news 文章来源：https://blog.csdn.net/text202202/article/details/129283750 2024/11/18 0:46:39

关于BeaconEye

BeaconEye是一款针对CobaltStrike的安全工具，该工具可以扫描正在运行的主动CobaltStrike
Beacon。当BeaconEye扫描到了正在运行Beacon的进程之后，BeaconEye将会监控每一个进程以查看C2活动。

工作机制

BeaconEye将会扫描活动进程或MiniDump文件，以尝试检测CobaltStrike Beacon。在活动进程模式下，CobaltStrike
Beacon可以将其以调试器的身份与目标进程绑定，监控Beacon活动以识别C2流量（当前版本的BeaconEye支持HTTP/HTTPS Beacon）。

用于加密C2数据和mallable配置文件的AES密钥会被动态解码，这将允许BeaconEye能够在操作人员发送命令时提取和解密Beacon的输出。

每个进程都会创建一个活动日志文件夹，该文件夹与执行BeaconEye的当前目录对应。

功能介绍

每个进程一个日志文件夹；

导出Beacon配置；

显示大多数Beacon命令的输出；

保存屏幕截图；

检测单独的和注入的Beacon；

检测使用内置sleep_mask隐藏的Beacon；

扫描正在运行的进程或离线Minidump文件；

工具下载

广大研究人员可以直接使用下列命令将该项目源码克隆至本地：

git clone https://github.com/CCob/BeaconEye.git

工具使用

BeconEye by @_EthicalChaos_CobaltStrike beacon hunter and command monitoring tool x86_64-v, --verbose              开启Verbose模式，显示更多信息-m, --monitor             扫描正在运行的活动进程，与之进行绑定并监控-f, --filter=VALUE           使用名字过滤进程列表（仅活动模式下可用）-d, --dump=VALUE          Minidump模式专用目录（*.dmp或*.mdmp）-h, --help                 显示帮助信息

注意事项

BeaconEye可以检测所有Beacon类型，但只能监控HTTP/HTTPS Beacon。目前，工具只会解码命令输出数据，而不会解码命令请求。

最后

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供：

当然除了有配套的视频，同时也为大家整理了各种文档和书籍资料&工具，并且已经帮大家分好类了。

因篇幅有限，仅展示部分资料，有需要的小伙伴，可以【扫下方二维码】免费领取：