Skip to content

Latest commit

 

History

History
23 lines (18 loc) · 1.15 KB

README.md

File metadata and controls

23 lines (18 loc) · 1.15 KB

由于某些特殊原因,本项目暂停更新,等待重构⌛️

BlackIP

扫描CobaltStrike的恶意IP合集

原理

CobaltStrike通过Stager上线默认会发送CheckSum8验证,某些网络空间测绘扫描器沙箱会根据此规则主动探测标记CS服务器。

数据来源

分布在世界各地的多台服务器自动监控并自动汇总去重,更新频率为5分钟,如有新增恶意IP将自动同步到Github仓库。
BlackIP

服务器状态监控:

https://status.gksec.com
https://status.wuyoukm.top

数据准确性

目前只收集主动探测包括但不限于CheckSum8默认规则的黑IP,证书/端口特征被标记不在本项目考虑范围之内。 通过特定算法实现99.9%的准确性,精准标记恶意扫描的IP。

如何防止被扫描/标

  • 修改CS的上线特征(包括但不限于CheckSum8)
  • ban掉这些IP
  • 套一层反向代理