基础特征

http 请求

http-beacon通信中，默认使用get方法向 /dpixel、/__utm.gif、/pixel.gif 等地址发起请求，同时请求头存在 cookie 字段并且值为 base64 编码后的非对算算法加密数据。

https-beacon 通信中，默认使用空证书建立加密通道，流量中可以看见这一过程。

dns-beacon 通信中，默认使用 “cdn.”、“www6.”、“api.”、“www.”、“post.” 为开头发起 dns 请求，并且查询结果伴随 0.0.0.0、0.0.0.80、0.0.0.241 等非常规 IP 。

运行 staging 模式的pe文件，会向指定服务器的checksum8 路径发起请求来下载 stage，即使通过 profile 文件改变下载地址，但c2服务器依然会对checksum8 地址请求作出响应。

ja3 和 ja3s 分别代表 tls 握手阶段的 client-hello、server-hello 的数据集合计算出的哈希值（md5），相同版本相同系统下指纹相同，该特征与操作系统、cobaltstrike 版本有关，profile 文件无法对其修改。

text

win10-https-beacon-ja3 指纹：72a589da586844d7f0818ce684948eea
centos-cs4.4-ja3s 指纹：fd4bc6cea4877646ccd62f0792ec0b62

默认端口为50050，默认HTTPS证书明显显示为CS服务器