【调试笔记】Cobalt Strike - Beacon信标快速分析

最新推荐文章于 2024-05-16 10:02:34 发布
最新推荐文章于 2024-05-16 10:02:34 发布
阅读量1.6k 收藏 1
点赞数
分类专栏: 逆向 文章标签: 渗透测试 逆向分析 病毒 后门
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JiangBuLiu/article/details/107788203
版权
本文详细介绍了Cobalt Strike Beacon信标的分析流程,从Loader到ShellCode的解密执行,强调了利用VirtualAlloc和VirtualProtect断点快速定位关键代码的重要性。通过对宏代码释放的Dll和其导出函数的分析,揭示了Beacon如何通过动态分配内存和函数地址解析来隐藏行为。
摘要由CSDN通过智能技术生成

流程

本次分析的样本为:宏代码释放的dll(也可能被其他的方式代替,初始载荷有多种方式,如压缩包等)→exe加载的.dll(常见的白加黑方式,这个dll才是Beacon)→解密ShellCode2的ShellCode1→ShellCode2→下载文件到本地
根据实际情况,可能有多种组合方式,最核心的问题是快速定位ShellCode并分析。
*由于本人截图没截全或者不满意,所以图片通过调试多次获得,故内存地址稍有不同,请不要太注意不同图片内存地址一定要对应

推荐Cobalt Strike - Beacon分析文章

《记月 - CobaltStrike内层组件分析(一)》

结论先行 - 调试重要的断点

Loader:下VirtualAlloc/VirtualProtect断点,通过CreateThread或者CALL 寄存器进入ShellCode1
ShellCode1:LoadLibrary + GetProcAddress通过HASH寻址获取函数地址后,CALL 寄存器进入ShellCode2
ShellCode2:Dump出来的文件通过IDA静态分析配合OD动态分析

宏代码释放Dll1,并执行其导出函数

Dll1有80+MB没法跟:

最低0.47元/天 解锁文章
建瓯最坏
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CobaltStrike(beacon.dll)功能赏析
yellow的博客
10-18 666
老版本CobaltStrike(beacon.dll)功能分析
CobaltStrike之DNS beacon
问题很多的小明
05-29 2958
DNS beacon 实际意义:红蓝对抗中,可以通过DNS的方式通信,流量更加隐秘,躲避agent/DLP的检测,实现相对隐秘的渗透方式。 环境需要: CobaltStrike + 域名 1 域名解析配置 解析过程如下: 第一步:ns1.xxxxx.com-----ns------>ns.xxxxxx.com 第二部:ns.xxxxx.com------A------->VPS地址 2 CS配置 注意:VPS防火墙53端口一定要开启 解析如下: mac:执行命令 dig +trace ns1
推荐开源项目:CobaltStrikeScan - 检测与解析Cobalt Strike信标工具
最新发布
gitblog_00071的博客
05-16 410
推荐开源项目:CobaltStrikeScan - 检测与解析Cobalt Strike信标工具 项目地址:https://gitcode.com/Apr4h/CobaltStrikeScan 在网络安全领域,对恶意活动的检测和防御至关重要。CobaltStrikeScan是一个专为Windows系统设计的开源工具,它可以帮助安全专家和研究人员扫描文件或进程内存以查找Cobalt Strike信标...
内网渗透神器CobaltStrike之DNS Beacon(四)
xf555er的博客
11-19 1339
利用DNS隧道进行攻击的现象已存在多年,将数据封装在DNS协议中传输,大部分防火墙和入侵检测设备很少会过滤DNS流量,僵尸网络和入侵攻击可几乎无限制地加以利用,实现诸如远控、文件传输等操作DNS隐蔽隧道建立通讯并盗取数据,可轻易绕过传统安全产品,使用特征技术难以检测。广为人知的渗透商业软件Cobalt Strike和开源软件iodine、DNScat2等亦提供了现成模块,可被快速轻易地利用。
Cobalt Strike(三)DNS beacon 的使用与原理
qq_56426046的博客
09-19 1278
dns木马因为隐蔽性好,在受害者不会开放任何端口 可以规避防火墙协议,走的是53端口 (服务器),防火墙不会拦截,缺点响应慢。
Cobalt Strike DNS Beacon 的使用与原理
yyj1781572的博客
11-17 695
Cobalt Strike DNS Beacon 的使用与原理
cobaltstrike-linux.zip
07-09
标题 "cobaltstrike-linux.zip" 暗示了这是一个针对Linux系统的Cobalt Strike工具包。Cobalt Strike是一款广泛使用的网络安全评估工具,主要用于红队操作、渗透测试和模拟攻击,帮助安全专业人员评估组织的安全防护...
GECC:Cobalt Strike-Go External C2 Client
03-15
GECC 进行外部C2客户端实施以打击钴。 使用Golang实现的外部C2客户端,非常简单的反向TCP直接连接,替代学习研究。测试样本Main函数中的8.8.8.8:2222修改成外部C2服务端的信息。 非常感谢以下优秀的项目作为本项目...
Cobalt-Strike-4.7
12-27
服务器组件,也就是团队服务器,是 Beacon payload 的 控制器,也是 Cobalt Strike 社会工程功能的托管主机。团队服务器还存储由 Cobalt Strike 收集的数据,并管理日志记录。 客户端组件:客户端团队成员使用的图形...
cobalt strike笔记-常用beacon命令.pdf
04-03
cobalt strike笔记-常用beacon命令
Cobal_Strike踩坑记录-DNS Beacon1
08-03
Cobal_Strike踩坑记录-DNS Beacon1
Cobaltstrike来源:Cobaltstrike4.1来源
03-04
钴打击源 Cobaltstrike4.1来源这是反编译后的Cobaltstrike4.1源码,修改了一点反编译后的bug,teamserver与agressor均能正常调试使用,若想自己修改调试那个文件只需把该文件复制到src下即可。 这是魔改Cobaltstrike4.1系列的帖子,若有错误请指出,谢谢:
Cobaltstrike dns上线 (观察流量)
时光凉春衫薄的博客
12-09 5361
今天做了一个cs-dns的上线过程,发现这个上限的方式还是挺隐蔽的。通过ip查询起来的话很难被追溯到。所有的流量全部是通过dns端口来做控制的。 首先通过exe的木马确保上限 然后在被控端端开启wireshark 随后在控制端下一个命令 下面是我在下达命令之后的一个完整流量截图,其中像这种txt api.xxx post.xxxx之类的都是cs在传输数据的特征。 这个图片其实不大,但是用dns的端口去用来传输数据的话这个就很慢了 流量差不多这个地方才结束吧。截取桌面的这个动作差...
Cobaltstrike系列教程(三)beacon详解
J0o1ey Blog
08-01 1万+
0x000–前文 有技术交流或渗透测试培训需求的朋友欢迎联系QQ547006660 2000人网络安全交流群,欢迎大佬们来玩 0x001-Beacon详解 1.Beacon命令 大家通过系列教程(二)的学习,配置好Listner,让目标机执行我们的Payload/后门程序后,即可发现目标机已经上线 右键目标interact来使用Beacon,我们用它来执行各种命令 ※在Cobalt Stri...
Cobalt Strike RCE漏洞浅析
热门推荐
m0_49443776的博客
12-04 62万+
本次我们要讲的是前段时间传的比较火的Cobalt Strike RCE漏洞分析...
Cobaltstrike DNS 隐蔽隧道
LuckySec
02-16 2352
0x01 DNS 隧道攻击 DNS协议是一种请求应答协议,也是一种可用于应用层的隧道技术。虽然DNS流量的异常变化可能会被发现,但是在基于传统socket隧道已经濒临淘汰,TCP、UDP通信大量被安全设备拦截的大背景下,DNS、ICMP、HTTP/HTTPS等难以禁用的协议已经成为攻击者使用隧道的主流选择。DNS隐蔽隧道基于互联网不可或缺的DNS基础协议,天然具备穿透性强的优势,是恶意团伙穿透安全防护的一把利器。 0x02 DNS Beacon Cobalt Strike 提供了现成利用模块,DNS Be
CobaltStrike逆向学习系列(2):Stageless Beacon 生成流程分析
无心的博客
01-14 305
这是[信安成长计划]的第 2 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 Patch Beacon 0x02 Patch Loader 0x03 文件对比 0x04 流程图 CobaltStrikeBeacon 生成分为两种,Stage Beacon 和 Stageless Beacon,这次主要来说明的是无阶段的 Stageless Beacon,最终文件比较大,不用从网络中来拉取。 本文的分析流程使用的 payload 是 windows/beacon_http/rever
CobaltStrike逆向学习系列(8):Beacon 结果回传流程分析
SecSource_Stars的博客
01-19 3113
这是[信安成长计划]的第 8 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 Beacon 接收与处理 0x02 结果回传 Beacon 在接受完命令并执行后,会将数据加密回传给 TeamServer,TeamServer 进行解析后,并根据类型对结果的格式进行处理后,再回传给 Controller 0x01 Beacon 接收与处理 直接在通信相关函数上下断,HttpSendRequest 发送任务,InternetReadFile 接收任务 跟出函数以后再根据其上下文分析,也就能推
神兵利器--Cobalt Strike
Grey的博客
04-10 4043
前言经常看到披露出来APT(Advanced Persistent Threat) 高级持续性威胁报告,据目前我所了解到的有常用两种攻击手法还有更多种手法水坑式攻击和鱼叉式钓鱼邮件攻击手法。其实我也想模仿这样攻击手法在渗透时候遇到有些目标简直是无从下手。很早之前就接触了Metasploit工具内网渗透非常强大,当时用过Cobalt Strike 2.0版本主要是结合Metasploit可以称为图形...
Cobalt strike DNS beacon攻击如何复现
04-29
Cobalt Strike 是一款常用的渗透测试工具,其中 DNS Beacon 是其常用的 C2 通信方式之一。下面是复现 Cobalt Strike DNS Beacon 攻击的步骤: 1. 准备 Cobalt Strike 客户端和服务器。你可以在官网上购买或试用 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值