Pointer是為大規模獵取和對映暴露在網際網路上的Cobalt Strike伺服器而開發的。
描述
指標是為獵取和對映暴露在網際網路上的Cobalt Strike伺服器而開發的。該工具包括識別Cobalt Strike伺服器的完整方法。它的目的是在短時間內加快檢測大量潛在目標中的Cobalt Strike伺服器的過程。
掃描25萬個目標的成本約為20美元,但我們正在尋找一個解決方案,使其更便宜。
免責宣告
該工具處於測試階段(正在進行測試)。帕維爾-沙巴爾金和邁克爾-科茲瓦拉編寫的博文中詳細介紹了該工具的主要組成部分:http://medium.com/@shabarkin/pointer-hunting-cobalt-strik-globally-a334ac50619a
我建議使用一個單獨的AWS賬戶來掃描和對映Cobalt Strike伺服器。
安裝
$PATH
如果你已經安裝並配置了Go(即在你的$GOPATH/bin
)。
sudo go get -u github.com/shabarkin/pointer
或
sudo git clone http://github.com/shabarkin/pointer.git
sudo go build .
基本使用方法
該工具是在AWS SQS、Lambda和DynamoDB服務的基礎上開發的,主要是基於AWS的服務。Pointer有一個configure
子命令,用於自動部署IAM、Lambda、SQS、DynamoDB和Autoscaling服務。為了配置所有這些服務,Pointer需要許可權來管理它們,為了簡單起見,我們建議為Pointer提供一個管理型別的賬戶,其中包括所有必要的許可權。這就是為什麼我建議使用一個單獨的AWS賬戶,特別是當你在AWS賬戶中使用其他Lambda函式時。
在AWS控制檯中建立一個AWS使用者賬戶
指令
- AWS控制檯→IAM→使用者組→建立組→1.提供組的名稱 2.附加許可權策略 "AdministratorAccess"。
- AWS控制檯 → IAM → 使用者 → 新增使用者 → 1.提供使用者的名字 2.選擇 "訪問金鑰-程式化訪問"→將使用者新增到組(我們已經建立了什麼)。
影片
設定憑證
警告:配置動作要求function.zip
檔案位於使用者執行該命令的目錄內。function.zip
檔案實際上是一個 "Pointer伺服器",它被編譯並壓縮成Lambda部署所需的格式。
Pointer有configure
子命令,有兩個選項。
- 自動部署AWS環境,你需要提供管理賬戶的AWS憑證。
./pointer configure -aws_access_key_id AKIA85CEHPO3GLIABKZD -aws_secret_access_key LW3bDF8xJvzGgArqMo0h4kuCYsnubU23kGICGp/p
- 清理已配置的AWS環境
./pointer configure -clear
警告:它建立了.env
檔案,每次你呼叫子命令時都會載入到全域性變數。
掃描
scan
子命令包括3個選項。1. 啟動掃描 2. 停止掃描 3. 檢查掃描的狀態
啟動掃描
指標工具解析本地json檔案(ips.json
)中的IP列表,以最佳方式將其分割成資料包(10個IP),然後將待處理的資料包新增到SQS佇列中。
./pointer scan -targets ips.json
ips.json
檔案的格式。
``` {
```
檢視掃描的狀態
指標檢索SQS佇列的資訊,有多少包在佇列中並等待掃描,以及有多少包在當前時刻正在處理。
./pointer scan -status
停止掃描
為了停止掃描,Pointer清除了SQS佇列中的所有資訊(包)。
./pointer scan -stop
傾倒
所有的掃描結果都儲存在DynamoDB表中:1.Targets,2.Beacons。
./pointer dump -outfile 23.09.2021
results
唯一可控的引數是輸出檔案的字尾,所有轉儲的結果都儲存在.csv
,和.json
資料夾中(當前目錄)。
警告:在結果轉儲之後,Pointer會清除DynamoDB表,所以你不會有獲得的結果的備份,只有儲存在results
資料夾中的那個。
你可以在這裡找到資料樣本 :http://docs.google.com/spreadsheets/d/1akSzGDq8ddn97rNfr7BS0w2HcoR52ircFaSMh-OEjTU/edit