冰 蠍(Cobalt Strike)是一款知名的 滲透 測 試工具, 廣泛 用於APT攻 擊和 紅 隊演 練。以下是冰 蠍的一些流量 特徵:
數 據包中的特殊 標 記:冰 蠍的 數 據包中包含了特定的 標 記,如"flag=0x52415631", 用於 標 識 該 數 據包是冰 蠍的 控制命令。
使用自定 義的二 進制 協定:在通信中 傳 輸各 種 類型的 數 據, 這是冰 蠍的 一個 顯著 特徵。
HTTP 請求 頭 特徵:冰 蠍的流量 特徵 還表 現在HTTP 協定上,例如,它可能 會使用POST 請求 傳 輸 控制命令和 數 據,以及特定的Content-Type 頭,如"application/octet-stream", 這表明它只能提交二 進制 數 據。
User-Agent 特徵:冰 蠍的 請求 頭中可能 會包含特定的User-Agent,例如"Cobalt Strike/版本 號", 這有 助於 識 別流量是否 屬於冰 蠍。
通 過分析 這些 特徵,可以 幫助 識 別和 防禦 基於冰 蠍的攻 擊活 動。