Pointer是為大規模獵取和對映暴露在網際網路上的Cobalt Strike伺服器而開發的。

語言: CN / TW / HK

描述

Pointer was developed for massive hunting and mapping Cobalt Strike servers exposed on the internet

指標是為獵取和對映暴露在網際網路上的Cobalt Strike伺服器而開發的。該工具包括識別Cobalt Strike伺服器的完整方法。它的目的是在短時間內加快檢測大量潛在目標中的Cobalt Strike伺服器的過程。
掃描25萬個目標的成本約為20美元,但我們正在尋找一個解決方案,使其更便宜。

免責宣告

該工具處於測試階段(正在進行測試)。帕維爾-沙巴爾金和邁克爾-科茲瓦拉編寫的博文中詳細介紹了該工具的主要組成部分:https://medium.com/@shabarkin/pointer-hunting-cobalt-strik-globally-a334ac50619a

我建議使用一個單獨的AWS賬戶來掃描和對映Cobalt Strike伺服器。

安裝

$PATH如果你已經安裝並配置了Go(即在你的$GOPATH/bin )。

sudo go get -u github.com/shabarkin/pointer

sudo git clone https://github.com/shabarkin/pointer.git

sudo go build .

基本使用方法

該工具是在AWS SQS、Lambda和DynamoDB服務的基礎上開發的,主要是基於AWS的服務。Pointer有一個configure 子命令,用於自動部署IAM、Lambda、SQS、DynamoDB和Autoscaling服務。為了配置所有這些服務,Pointer需要許可權來管理它們,為了簡單起見,我們建議為Pointer提供一個管理型別的賬戶,其中包括所有必要的許可權。這就是為什麼我建議使用一個單獨的AWS賬戶,特別是當你在AWS賬戶中使用其他Lambda函式時。

在AWS控制檯中建立一個AWS使用者賬戶

指令

  1. AWS控制檯→IAM→使用者組→建立組→1.提供組的名稱 2.附加許可權策略 "AdministratorAccess"。
  2. AWS控制檯 → IAM → 使用者 → 新增使用者 → 1.提供使用者的名字 2.選擇 "訪問金鑰-程式化訪問"→將使用者新增到組(我們已經建立了什麼)。

影片

Pointer was developed for massive hunting and mapping Cobalt Strike servers exposed on the internet

設定憑證

警告:配置動作要求function.zip 檔案位於使用者執行該命令的目錄內。function.zip 檔案實際上是一個 "Pointer伺服器",它被編譯並壓縮成Lambda部署所需的格式。

Pointer was developed for massive hunting and mapping Cobalt Strike servers exposed on the internet

Pointer有configure 子命令,有兩個選項。

  1. 自動部署AWS環境,你需要提供管理賬戶的AWS憑證。

./pointer configure -aws_access_key_id AKIA85CEHPO3GLIABKZD -aws_secret_access_key LW3bDF8xJvzGgArqMo0h4kuCYsnubU23kGICGp/p

Pointer was developed for massive hunting and mapping Cobalt Strike servers exposed on the internet

  1. 清理已配置的AWS環境

./pointer configure -clear

Pointer was developed for massive hunting and mapping Cobalt Strike servers exposed on the internet

警告:它建立了.env 檔案,每次你呼叫子命令時都會載入到全域性變數。

Pointer was developed for massive hunting and mapping Cobalt Strike servers exposed on the internet

掃描

scan 子命令包括3個選項。1. 啟動掃描 2. 停止掃描 3. 檢查掃描的狀態

啟動掃描

指標工具解析本地json檔案(ips.json)中的IP列表,以最佳方式將其分割成資料包(10個IP),然後將待處理的資料包新增到SQS佇列中。

./pointer scan -targets ips.json

ips.json 檔案的格式。

``` {

```

Pointer was developed for massive hunting and mapping Cobalt Strike servers exposed on the internet

檢視掃描的狀態

指標檢索SQS佇列的資訊,有多少包在佇列中並等待掃描,以及有多少包在當前時刻正在處理。

./pointer scan -status

Pointer was developed for massive hunting and mapping Cobalt Strike servers exposed on the internet

停止掃描

為了停止掃描,Pointer清除了SQS佇列中的所有資訊(包)。

./pointer scan -stop

Pointer was developed for massive hunting and mapping Cobalt Strike servers exposed on the internet

傾倒

所有的掃描結果都儲存在DynamoDB表中:1.Targets,2.Beacons。

./pointer dump -outfile 23.09.2021

Pointer was developed for massive hunting and mapping Cobalt Strike servers exposed on the internet

results 唯一可控的引數是輸出檔案的字尾,所有轉儲的結果都儲存在.csv ,和.json 資料夾中(當前目錄)。

Pointer was developed for massive hunting and mapping Cobalt Strike servers exposed on the internet

警告:在結果轉儲之後,Pointer會清除DynamoDB表,所以你不會有獲得的結果的備份,只有儲存在results 資料夾中的那個。

你可以在這裡找到資料樣本 :https://docs.google.com/spreadsheets/d/1akSzGDq8ddn97rNfr7BS0w2HcoR52ircFaSMh-OEjTU/edit

演示影片

Pointer was developed for massive hunting and mapping Cobalt Strike servers exposed on the internet

GitHub

https://github.com/shabarkin/pointer