Ecosyste.ms: Awesome

An open API service indexing awesome lists of open source software.

Awesome Lists | Featured Topics | Projects

https://github.com/waterrr/BlackIP

扫描CobaltStrike的恶意IP
https://github.com/waterrr/BlackIP

Last synced: 21 days ago
JSON representation

扫描CobaltStrike的恶意IP

Host: GitHub
URL: https://github.com/waterrr/BlackIP
Owner: waterrr
License: mit
Created: 2021-10-18T14:44:40.000Z (about 3 years ago)
Default Branch: main
Last Pushed: 2022-04-06T06:37:40.000Z (over 2 years ago)
Last Synced: 2024-04-16T20:16:32.074Z (8 months ago)
Size: 423 KB
Stars: 30
Watchers: 2
Forks: 2
Open Issues: 0
Metadata Files:
- Readme: README.md
- License: LICENSE

Awesome Lists containing this project

awesome-hacking-lists - waterrr/BlackIP - 扫描CobaltStrike的恶意IP (Others)

README

## 由于某些特殊原因，本项目暂停更新，等待重构⌛️
## BlackIP
扫描CobaltStrike的恶意IP合集

## 原理
CobaltStrike通过Stager上线默认会发送CheckSum8验证，某些网络空间测绘扫描器、沙箱会根据此规则主动探测标记CS服务器。

## 数据来源
分布在世界各地的多台服务器自动监控并自动汇总去重，更新频率为5分钟，如有新增恶意IP将自动同步到Github仓库。
[![BlackIP](https://cdn.gksec.com/20211117/xuIk8ggK/BlackIP.png "技术架构")](https://app.cloudcraft.co/view/bf5b7390-594b-4ad2-bb5d-7a898ce470e3?key=e23674d9-d4b0-491d-89b0-7b3ada28c1ae&interactive=true&embed=true)

## 服务器状态监控：
https://status.gksec.com
https://status.wuyoukm.top

## 数据准确性
目前只收集主动探测包括但不限于CheckSum8默认规则的黑IP，证书/端口特征被标记不在本项目考虑范围之内。
通过特定算法实现99.9%的准确性，精准标记恶意扫描的IP。

## 如何防止被扫描/标
- 修改CS的上线特征（包括但不限于CheckSum8）
- ban掉这些IP
- 套一层反向代理