DNS Over HTTPS for Cobalt Strike(将 DoH 与 Cobalt Strike 结合使用, 无需第

DNS Over HTTPS (DoH) 是一种安全的网络协议，它允许用户通过HTTPS协议进行DNS查询，从而加密DNS通信，防止中间人攻击并提高隐私保护。Cobalt Strike是一款广泛用于红队行动和渗透测试的工具，它允许安全专家模拟攻击者的行为来评估网络安全。将DoH与Cobalt Strike结合使用，可以创建更难以检测和阻止的命令与控制(C2)通道。 传统的C2基础设施在近年来面临着越来越多的挑战，因为网络防御者已经学会了如何针对过去的攻击手段实施有效的缓解措施。DoH作为C2通信渠道的一个被低估的选择，具有一定的优势，因为它可以利用HTTPS的加密特性，使得流量看起来像是正常的安全Web流量，从而绕过一些基于域名分类的防御系统。 在Cobalt Strike中实现DoH，通常不需要第三方账户或额外的基础设施设置。攻击者和安全专业人员过去常常使用各种重定向器（如Apache和Nginx服务器）来转发流量，但这些方法可能会被依赖域名分类的防御系统所识别。随着内容分发网络（CDN）的普及，攻击者开始利用这些平台，因为它们可以提供合法的域名和SSL证书，减少了攻击者的准备工作。 然而，CDN供应商对域名前置（Domain Fronting）行为的限制使得这种技术的可行性降低。域名前置是一种利用多个服务共享同一域名的策略，使攻击流量隐藏在合法流量之中。尽管如此，攻击者们仍在不断寻找新的方法和渠道来规避检测。 在本文中，作者Kyle Avery详细介绍了如何在不使用第三方账户或额外基础设施的情况下，配置Cobalt Strike使用DoH。这种方法能够确保通信流量使用有效的SSL证书进行加密，并且通过信誉良好的域名称发送，这极大地提高了C2基础设施的隐蔽性。 实施这个过程可能包括以下步骤： 1. 配置DoH服务器：选择一个支持DoH的公共或私有DNS服务器，如Google DNS、Cloudflare DNS等。 2. 在Cobalt Strike中集成DoH：修改Cobalt Strike的配置，使其通过DoH服务器进行DNS查询。 3. 证书配置：确保所有通信都使用SSL证书进行加密，这可以通过自签名证书或者获取权威CA的证书来实现。 4. 隐藏流量：利用可信赖的域名，使C2流量混入正常的HTTPS流量中，降低被检测的可能性。 5. 持续监控和更新：由于防御技术不断进步，攻击者需要保持对DoH配置的更新和优化，以应对新的防御策略。 通过这种方式，红队成员和安全研究人员可以在测试网络防御能力时，使用更加隐蔽的通信方式，同时避免了传统C2通道可能遇到的许多问题。然而，这种技术也带来了对网络安全的潜在威胁，因此防御者也需要持续关注DoH的使用情况，并开发新的检测和预防措施。