探索前沿技术:SharpBeacon——重写CobaltStrike Beacon的新篇章

于 2024-05-09 09:38:41 发布
阅读量286 收藏 9
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00083/article/details/138599123
版权

探索前沿技术:SharpBeacon——重写CobaltStrike Beacon的新篇章

1、项目介绍

SharpBeacon是一个创新项目,它采用.NET 4.0框架重新构建了CobaltStrike的Stager和Beacon组件,为网络安全研究和渗透测试带来了新的可能性。由 mai1zhi2 开发的这一工具,不仅实现了基础的上线、文件管理和进程控制功能,还包含了先进的系统调用注入、原生端口转发以及关闭事件跟踪日志(ETW)等一系列高级操作。

2、项目技术分析

LolBins与GadgetToJS

SharpBeacon巧妙地利用了LolBins(即系统中已存在的可信赖二进制文件)和GadgetToJS的技术,将CS的Stager转换为JavaScript、VBA或HTA文件,通过在内存中加载和执行来逃避检测。这种方法巧妙地绕过了.NET4.8+的类型检查,并能通过简单的字符串修正避免被杀毒软件拦截。

Stager与AMSIBypass

项目中的Stager部分,能够从网络获取Beacon的程序集并将其加载至内存中,同时实现在不被AMSIScanBuffer检测到的情况下运行。通过寻找特定的DLL函数和进行适当的修补,SharpBeacon实现了高效的隐秘性。

Beacon功能集

Beacon组件提供了广泛的实用功能,如正常上线、文件管理、进程操控、令牌管理以及系统注入等。不仅如此,它还具备原生的端口转发功能,允许在不同网络之间建立安全通道。

3、项目及技术应用场景

SharpBeacon适用于多种场景,包括但不限于:

  • 网络安全研究人员想要模拟攻击行为,测试防护措施的有效性。
  • 渗透测试工程师在合法授权的范围内进行红队操作,验证系统的安全性。
  • 教育领域,教授学生如何编写和利用复杂的安全工具。

4、项目特点

  • 跨平台兼容:基于.NET 4.0,理论上支持.NET Framework 4.1及更高版本。
  • 强大功能集成:涵盖了从文件操作到进程控制的全面功能,满足多种渗透测试需求。
  • 高效隐匿:通过LolBins和AMSIBypass技术,提高隐蔽性和生存能力。
  • 开源社区驱动:项目持续发展,开发者和社区成员共同完善和扩展功能。

总的来说,SharpBeacon是一个集创新、实用和技术挑战于一体的项目,对于任何热衷于网络安全、渗透测试和代码逆向工程的人来说,都是一个值得探索的宝藏。现在,是时候深入项目,体验它带来的无限可能了。

黎情卉Desired
关注
  • 4
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
LOLBins——利用证书校验程序Certutil.exe和CertReq.exe
摔不死的笨鸟的博客
07-21 373
LOLBins
Cyberchef实战之-Cobalt Strike beacon 还原揭秘
村中少年的专栏
07-27 570
通过cyberchef分析一段使用了base64,压缩,xor,charcode等多种方式的Cobalt Strike beacon样本,为护网HVV,重保互动,日常网络安全运营分析,提供参考思路
LOLBins免杀技术研究及样本分析
qq_53058639的博客
08-13 778
自病毒木马诞生起,杀毒软件与病毒木马的斗争一直都没有停止过。从特征码查杀,到现在的人工智能查杀,杀毒软件的查杀技术也是越来越复杂。但是病毒木马却仍然层出不,这是因为大部分病毒木马使用了免杀技术。免杀技术全称为反杀毒技术(Anti Anti-Virus),简称“免杀”,指的是一种能使病毒木马免于被杀毒软件查杀的技术。不管是钓鱼攻击,还是Web渗透,对使用的病毒木马进行免杀处理,都是必不可少的操作。在某次网络攻防演练期间,我们捕获了一个免杀样本,主要使用了“LOLBins”免杀技术。
Lazarus 组织开始使用 lolbin 技术
qq_53058639的博客
08-12 152
研究人员发现了 Lazarus的新攻击行动,利用国防部门的就业岗位信息进行诱饵钓鱼,已经发现了针对洛克希德马丁公司的求职者的定向攻击。洛克希德马丁公司是一家美国航空航天、武器、国防、信息安全和技术公司,同类也有其他公司类似主题的诱饵文件,例如诺斯罗普·格鲁曼公司和BAE 国防工业公司。研究人员发现,Lazarus 组织首次使用 lolbin 技术,故而命名为LolZarus。
浅析 CobaltStrike Beacon Staging Server 扫描1
08-03
Cobalt Strike Beacon Staging Server】是Cobalt Strike渗透测试工具中的一部分,它涉及到网络安全、软件插件和渗透测试领域。Cobalt Strike是一款广泛使用的红队工具,允许安全专家模拟攻击行为,测试组织的安全...
浅析CobaltStrike Beacon Staging Server扫描 .pdf
09-05
Cobalt Strike Beacon Staging Server扫描】是网络安全领域中的一种技术,主要针对Cobalt Strike恶意软件的检测和防御。Cobalt Strike是一款高级的红队工具,被广泛用于渗透测试和网络攻击中,其核心组件之一是...
CobaltStrike4.4.zip
09-15
`.cobaltstrike.beacon_keys`文件可能包含Cobalt Strike Beacon的密钥,BeaconCobalt Strike的代理组件,它在目标系统上运行,执行攻击者指示的任务。这些密钥用于加密通信,确保C2通道的安全。 `c2lint`可能是一...
透视CobaltStrike(一)——PE类Beacon分析 .pdf
09-05
《透视CobaltStrike(一)——PE类Beacon分析》 CobaltStrike是一款备受红队和攻击者青睐的高级渗透测试工具,其强大的功能和灵活的运用使其在网络安全领域占据重要地位。本文主要围绕CobaltStrike的PE类Beacon进行...
LOLBAS:生活在陆地上的二进制文件和脚本-(LOLBins和LOLScripts)
04-30
生活在陆地上的二进制文件和脚本(现在还有图书馆) 所有不同的文件都可以在这里找到一个花哨的前端: ://lolbas-project.github.io(感谢@ConsciousHacker的帮助,团队敬请访问 )。 此存储库充当我们维护高档前端使用的YML文件的地方。 目标 LOLBAS项目的目标是记录可用于“远离陆地生活”技术的所有二进制文件,脚本和库。 标准 LOLBin / Lib / Script必须: 是Microsoft签名的文件,可以是操作系统本身的文件,也可以是从Microsoft下载的文件。 具有额外的“意外”功能。 记录预期的用例并不有趣。 应用程序白名单绕过例外 具有对APT或红色团队有用的功能 有趣的功能可以包括: 执行代码 任意代码执行 其他程序(无符号)或脚本(通过LOLBin)的传递执行 编译代码 文件操作 正在下载 上载 复制 坚持不懈 利用现有
如何把.exe的函数转成dll_红蓝对抗之如何利用Shellcode来躲避安全检测
weixin_39666782的博客
12-06 524
写在前面的话对于红队安全研究团队来说,一次成功的渗透测试必须是不被目标系统发现的,随着现代终端检测和响应(EDR)产品日趋成熟,红队也必须随之每日俱进。在这篇文章中,我们将跟大家介绍FireEye Mandiant红队研究人员如何通过构造特殊Payload来绕过现代EDR产品,并获取到目标系统的完整命令控制访问权。Shellcode注入或Shellcode执行往往是我们在目标系统上实现P...
无文件形式的恶意软件:了解非恶意软件攻击(一)
systemino的博客
10-08 1395
与基于文件的攻击不同,无文件恶意软件不会利用传统的可执行文件。无文件攻击滥用了操作系统内置的工具来进行攻击。从本质上讲,Windows是反对自己的。 没有可执行文件,杀毒软件就无法检测到签名,这就是无文件攻击如此危险的原因,因为它们能够轻松逃避防病毒产品。 利用MITRE ATT&CK框架防御这些攻击,MITRE ATT&CK是一款可以加速检测与响应的最新工具(对手战...
那些shellcode免杀总结
mingyqf的博客
03-24 7978
那些shellcode免杀总结 卿i(https://xz.aliyun.com/u/15540) / 2020-02-07 08:57:08 / 浏览数 20471 自己还是想把一些shellcode免杀的技巧通过白话文、傻瓜式的文章把技巧讲清楚。希望更多和我一样web狗也能动手做到免杀的实现。 文中我将shellcode免杀技巧分为 "分离“、”混淆“两个大类,通过不同技巧针对不同检测方式,也就是常听到的特征检测、行
TA505武器之隐形电子邮件窃取器
systemino的博客
05-22 1497
简介 Yoroi安全实验室发现,已有越来越多的证据在表明针对银行业的攻击行为正在加剧。许多安全研究人员在也指出过,利用电子邮件作为攻击载体的金融盗窃行动可能与黑客组织TA505有关,TA505自2014年以来一直活跃,其攻击目标主要针对零售业和银行业公司。该组织所使用的逃避技术随着时间的推移在不断发展进化,能越过某些企业的安全防御机制,渗入企业内部,例如滥用LOLBins或合法程序,以及经过加密...
再探勒索病毒之删除卷影副本的方法
m0_37442062的博客
03-28 1562
影响平台:Windows 侵害的用户:任何组织 威胁程度:高 为了令勒索攻击实施有效,勒索软件进行的一个常见行动是卷影备份(即影子副本),从而使受害者无法恢复任何已加密的文件。 在这篇文章中,我们回顾了勒索软件已删除影子副本的现有方法,重新总结防御者保护自己和数据资源可以使用的技术。如此,我们还揭露了勒索软件可能使用的新方法。分享这些方法将使防御者能够针对这些潜在的未来技术部署适当的检测,因为我们以后遇到它们只是时间问题,这也将给现有的防护报警系统带来新的冲击。 ** VSS架构 ** 在我们开始之前,.
中国石油大学(北京)克拉玛依校区在广东2021-2024各专业最低录取分数及位次表.pdf
09-08
全国各大学在广东省2021~2024年各专业最低录取分数及位次
浙江越秀外国语学院在广东2021-2024各专业最低录取分数及位次表.pdf
09-08
全国各大学在广东省2021~2024年各专业最低录取分数及位次
网站模板源代码(组件划分规范,二改省力)
最新发布
09-08
组件划分规范,二改省力!!!
域渗透技术详解:从ew到cobaltstrike的内网横移
"本文是关于域渗透技术的深入讲解,主要涵盖了多个关键步骤和技术,包括ew穿透、网络扫描、MSF(Metasploit)与CS(Cobalt Strike)的结合使用、内网渗透、横向移动以及权限提升等。文章以红日安全的ATT&CK靶场为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

黎情卉Desired

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值