Detects Cobalt Strike beacons in network traffic via default TLS cert serial 8BB00EE, JA3/JA3S/JARM fingerprints, HTTP C2 profile matching, jitter analysis, named pipes using Zeek, Suricata, Python PCAP.
npx claudepluginhub killvxk/cybersecurity-skills-zhThis skill uses the workspace's default tool permissions.
Cobalt Strike 是红队和威胁行为者最常用的命令与控制框架。其主要 payload——Beacon,使用可配置的 HTTP/HTTPS/DNS 配置文件与团队服务器通信,这些配置文件可模拟合法流量。然而,默认配置和行为模式仍可通过 TLS 证书分析(默认序列号 8BB00EE)、JA3/JA3S 指纹识别、信标间隔抖动分析和 HTTP 可延展配置文件模式匹配来检测。本技能涵盖使用 Zeek 网络日志、Suricata IDS 规则和基于 Python 的 PCAP 分析来识别网络流量中信标回调的检测能力建设。
Detects Cobalt Strike beacon C2 activity in network traffic using Zeek logs, Suricata rules, Python PCAP analysis for TLS cert signatures, JA3/JA3S/JARM fingerprints, jitter, and HTTP profiles.
Detects Cobalt Strike beacons using default TLS cert serial (8BB00EE), JA3/JA3S/JARM fingerprints, HTTP C2 profiles, jitter analysis, and named pipes via Zeek, Suricata, Python PCAP. For threat hunting.
Extracts and analyzes Cobalt Strike beacon configurations from PE files and memory dumps to identify C2 servers, Malleable C2 profiles, watermarks, and attacker tactics. Useful for malware analysis and incident response.
Share bugs, ideas, or general feedback.
Cobalt Strike 是红队和威胁行为者最常用的命令与控制框架。其主要 payload——Beacon,使用可配置的 HTTP/HTTPS/DNS 配置文件与团队服务器通信,这些配置文件可模拟合法流量。然而,默认配置和行为模式仍可通过 TLS 证书分析(默认序列号 8BB00EE)、JA3/JA3S 指纹识别、信标间隔抖动分析和 HTTP 可延展配置文件模式匹配来检测。本技能涵盖使用 Zeek 网络日志、Suricata IDS 规则和基于 Python 的 PCAP 分析来识别网络流量中信标回调的检测能力建设。
使用 Zeek ssl.log 中的 JA3S 指纹、证书序列号和 JARM 指纹检测默认 Cobalt Strike 证书。
分析连接时间模式,识别具有可配置抖动的规律性回调间隔,这是信标行为的典型特征。
将 HTTP 请求模式(URI 路径、请求头、User-Agent)与已知的可延展 C2 配置文件进行匹配。
将多个指标(TLS + 时序 + HTTP 配置文件)组合为综合信标置信度评分。
包含检测到的信标候选项的 JSON 报告,内容涵盖置信度评分、TLS 指纹、时序分析、HTTP 配置文件匹配和建议响应措施。