CobaltStrike逆向学习系列(6):Beacon sleep_mask 分析

最新推荐文章于 2023-07-14 16:51:57 发布
最新推荐文章于 2023-07-14 16:51:57 发布
阅读量566 收藏
点赞数
分类专栏: 信息安全 文章标签: 系统安全 web安全 安全 安全架构
原文链接:https://blog.csdn.net/SecSource_Stars/article/details/122428247
版权

这是[信安成长计划]的第 6 篇文章
关注微信公众号[信安成长计划]
在这里插入图片描述

0x00 目录

0x01 C2Profile 分析

0x02 set userwx “true”

0x03 set userwx “false”

CobaltStrike 提供了一个内存混淆功能,它会在 Sleep 的时候将自身混淆从而避免一定的检测

0x01 C2Profile 分析

因为 sleep_mask 是从 C2Profile 中设置的,所以就需要先搞清楚 TeamServer 是如何解析的

图片

很明显它还跟其他的设置项有关,这里我们重点关注一下 rwx 的设置

图片

首先会将 text 段的结尾地址存储到 index=41 的位置

图片

接着判断了 text 段与 rdata 段中间的空白位置够不够 256 个字节,推测会将加解密函数放在这里

图片

obfuscate 就让它默认为 false,它不是我们这次关注的重点,接下来就会将 0 和 4096 添加到其中

图片

再看一眼 text 段的 Virtual Address,这块很明显就是 PE 头的那段内容

图片

接下来就是循环添加内容了,可以很明显的看到 do while 的循环条件是 text 段且不允许使用 rwx,这也就意味着,当我们不允许使用 rwx 的时候,text 段并不会被添加到 index=42 的项中,应该也就不会被混淆了,在最后还添加了零,用于标示结尾

图片

0x02 set userwx “true”

为了快速定位到加解密函数所在,可以设置断点来完成,因为按照之前的分析,使用 rwx 的时候,text 段也会被混淆的,所以跟入函数以后,直接滑倒开头下写入断点即可

图片

接着直接放过也就到达了位置

图片

接着根据这个位置到 IDA 中进行查找,然后通过回溯也很容易能够找到整个的调用链

图片

在主循环的最后有一个用于处理 Sleep 的函数

图片

它通过判断 0x29 来决定是否直接调用 Sleep,如果使用了 sleep_mask,0x29 中存储的就是 text 段的结尾地址

图片

首先它会将自己当前函数与加解密函数一起传入

图片

在函数中先计算了两个函数地址的差值,通过对比很明显能够看出这个就是加解密函数的长度

图片

接着从 0x29 中取出 text 段的结尾地址,并从全局变量中取出 PE 头的位置,相加也就得到了在内存中的 text 的结尾地址,也就是后面要存放加解密函数的地址,接着传统的拷贝也就不提了,重点是后面的赋值操作

图片

申请了 0x20 的空间,也就是 32 个字节,8 个字节存储 PE 头地址,8 个字节存储 0x2A 的地址

图片

这个 0x2A 也就是之前构造的那一串结构

图片

然后将加 16 的位置传入

图片

第一个使用 CryptoAPI 生成密钥

图片

如果失败的话,用第二个自己实现的算法生成密钥

图片

最后就来调用加解密函数了,第一个是构造的结构,第二个是 Sleep 函数,第三个是时间

图片

接着就来分析加解密函数,根据中间 Sleep 调用可以推断出,上面是加密函数,下面是解密函数

图片

参数是指针类型,取数组,下标 1,也就是 0x2A 所取到的值了

然后 v6 就是第一个值 sectionAddress,v7 就是第二个值 sectionEnd,然后将 v3 再后移

用来判断跳出规则的就是最后添加的两个零

do while 的混淆条件就是 sectionAddress<sectionEnd,也就是将所有的代码都进行混淆

图片

之后的解密也是一样的逻辑就不提了

接下来就是验证的时候了

Sleep 时候的状态

图片

此时的代码段

图片

接收命令时候的状态

图片

此时的代码段

图片

在允许 RWX 权限的时候,代码段是混淆的

0x03 set userwx “false”

理论在之前也都讲完了,这里就是验证一下最终的效果

Sleep 时候的状态

图片

此时的代码段

图片

接收命令时的状态

图片

此时的代码段

图片

在禁止 RWX 权限的时候,代码段是不混淆的

Vesel『无心』
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cobalt-arsenal:我收集的经过考验的Cobalt Strike 4.0+攻击者脚本
04-13
钴- 我发布的一套针对Cobalt Strike的Aggressor Scripts 4.0+ Beacon_Initial_Tasks.cna此脚本可让您配置应在第一次BeaconBeacon_Initial_Tasks.cna启动的命令。 命令和争论设置都可以在专用的选项对话框中找到。 此外,还添加了右键单击信标并发出“运行自定义命令...”的功能,以允许对多个信标运行任意命令。 然后将设置保存在名为$beaconInitialTasksSettingsFile的全局变量中指定的文件中 这个怎么运作? 实现beacon_task()功能以在您的beacon_task($bid, "execute-assembly C:\\tools\\Rubeus.exe hash /password:test");脚本中从传递的字符串中调用几乎任意的Cobalt Strike命令: beac
Cobalt-Strike-4.7
12-27
Cobalt Strike 是一款使用java编写,C / S架构的商业渗透软件,适合多人进行团队协作,可模拟APT做模拟对抗,进行内网渗透,是一个为对手模拟和红队行动而设计的平台,主要用于执行有目标的攻击和模拟高级威胁者的后渗透行动。 Cobalt Strike 分为客户端组件和服务器组件。 服务器组件,也就是团队服务器,是 Beacon payload 的 控制器,也是 Cobalt Strike 社会工程功能的托管主机。团队服务器还存储由 Cobalt Strike 收集的数据,并管理日志记录。 客户端组件:客户端团队成员使用的图形化界面
AggressorScripts:用于 Cobalt Strike 3.0+ 的 Aggressor 脚本
05-29
侵略者脚本 用于 3.0+ 的 Aggressor 脚本 apache-style-weblog-output.cna - 将博客点击输出到 Cobalt Strike 工作目录中名为 weblog.log 的类似 Apache 的访问日志文件 beacon_to_empire.cna - 利用RESTful API 从 Cobalt Strike 上的 Beacon 会话迁移会话的脚本 beaconid_note.cna - 在加载和初始签入时将 Beacon note 设置为其 ID(主要在编写 Aggressor 脚本时有用) 信标建立note.cna - 将信标注释设置为初始签入时建立的时间 Beaconpire - 向帝国发送信标并将帝国特工拉入 Cobalt Strike CCDC - 设计用于 CCDC 的脚本集合 lulz.cna - 包括一些 Blue Team 烦恼
.cobaltstrike.beacon_keys
07-24
.cobaltstrike.beacon_keys
CobaltStrike使用教程详解(基础)
热门推荐
逍遥小哥的博客
07-14 1万+
大家好,今天简单来聊聊CobaltStrike,这是我们后渗透阶段必不可少的神器。Cobalt Strike 是一款流行的渗透测试工具,广泛用于红队操作和渗透测试。它由Raphael Mudge创立的Strategic Cyber LLC开发,并于2012年首次发布。Cobalt Strike 提供了一套功能强大的工具和框架,用于模拟网络攻击、横向移动、特权升级、持久化访问以及命令和控制等任务。它旨在帮助安全专业人员评估和改善组织的网络防御能力,同时提供了完整的红队操作平台。
cobaltstrike_bofs:我的CobaltStrike BOFS
03-12
QueueUserAPC_PPID queueuserapc_ppid / BOF在指定的父对象下生成您选择的进程,并通过QueueUserAPC()注入提供的shellcode文件。
CobaltStrike逆向学习系列(1):CS 登陆通信流程分析
无心的博客
01-14 389
这是[信安成长计划]的第 1 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 密码校验 0x02 aggressor.authenticate 0x03 aggressor.metadata 0x04 数据同步 0x05 流程图 0x06 参考文章 先统一一下后续文章所提到的一些名词,以确保大家都在聊同一个东西,文中将 CobaltStrike分为 Controller、TeamServer、Beacon 三端,本文所描述的是 TeamServer 启动之后,从 Controller 登
CobaltStrike逆向学习系列(10):TeamServer 启动流程分析
SecSource_Stars的博客
01-28 783
这是[信安成长计划]的第 10 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 基本校验与解析 0x02 初始化 0x03 启动 Listeners 在之前的分析中,都是针对 CobaltStrike 整体通信流程的,也就忽略了中间的一些细节,其中一些细节对理解整个 CobaltStrike 也是非常重要的 0x01 基本校验与解析 先取了默认端口 接着对 Java 环境及一些参数进行了验证,并校验了 license 这里重点看一下对于参数的检测,可以看到有校验两个参数是否存在,当你
CobaltStrike逆向学习系列(7):Controller 任务发布流程分析
无心的博客
01-14 254
这是[信安成长计划]的第 7 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 Controller->TeamServer 0x02 TeamServer->Beacon 0x03 流程图 所有的任务在 Controller 处理以后,都会直接发送到 TeamServer,接着等待 Beacon 回连的时候将任务取走,文章以 shell whoami 为例 0x01 Controller->TeamServer 当在 Console 中输入命令回车后,会进入 Beaco
geacon:练习Go编程并在Go中实现CobaltStrikeBeacon
03-21
盖康使用Go来实现CobaltStrike的信标该项目仅用于学习协议分析逆向工程,如果有人的权利受到侵犯,请与我联系以删除该项目,最后一个请勿非法使用怎么玩设置团队服务器并启动http许可,团队服务器将生成文件....
Awesome-CobaltStrike-Defence:防钴打击
03-08
Cobalt Strike是一款功能齐全的商业化渗透测试工具,称其为“旨在执行有针对性的攻击并模仿高级威胁参与者的利用后行动的对手模拟软件”。 Cobalt Strike的交互式爆炸后功能涵盖了ATT&CK的全部战术,所有这些战术都...
Cobalt_Strike_beacon免杀上线com_劫持1
08-03
第一步,既然是劫持 com,首先肯定得先有个 dll 才行,因为目标是 64 位系统,所以,我们此处在创建好监听器以后,直接生 第二步,将 dll payloa
Cobalt_Strike_beacon免杀上线Powershell1
08-03
第一步,创建监听器,并用对应的监听器生成的 "Powershell payload " 第二步,回到本地机器上,先准备好一张大点的图片,比如随便去找一张"192
CobaltStrike(beacon.dll)样本.zip
10-18
老版本的CobaltStrike样本,C2已经失去活性。
cobaltstrike_release-20210907.7z
09-29
https://www.cobaltstrike.com/help-sleep-mask-kit + 产品许可和安全增强。 + 避免使用 localhost Sysmon 事件 22 进行 Beacon 元数据解析。 + 使用 sleep_mask 集验证信标是否有足够的代码洞空间。 + 更新 ...
透视CobaltStrike(一)——PE类Beacon分析 .pdf
09-05
透视CobaltStrike(一)——PE类Beacon分析 漏洞分析 网络安全 安全防护 安全管理 业务风控
Cobalt_Strike_C2隐匿多级nginx反向代理1
08-03
尝试将 C2 隐匿于多级 nginx 反向代理关于利用多级 nginx 反代实现 beacon 上线的大致思路拓扑大致思路是这样,首先,我们会用一个 CS 的外
Cobal_Strike踩坑记录-DNS Beacon1
08-03
Cobal_Strike踩坑记录-DNS Beacon1
Cobalt Strike 插件
最新发布
08-10
Cobalt Strike插件是用于在Cobalt Strike平台上扩展功能的工具。根据引用,在linux上运行Cobalt Strike客户端,需要下载并加载genCrossC2.Linux脚本,而在Windows环境下运行,则需要下载并加载genCrossC2.Win.zip插件。这些插件可以在CobaltStrike 4.0以上版本中运行,并且可以在实验中成功上线。另外,根据引用和,Cobalt Strike的SSH客户端使用SMB Beacon协议,并实现Beacon命令调用以及子功能的使用。SSH会话可以看作是包含较少命令的Beacon会话,具有自己的唯一ID,与任务和元数据相关联。通过使用-beacons功能,可以获取有关所有Cobalt Strike会话(包括SSH会话和Beacon会话)的信息,并使用-isssh和-isbeacon来检测当前会话的类型。因此,Cobalt Strike插件提供了扩展功能和支持SSH会话的能力。123 #### 引用[.reference_title] - *1* [Cobalt Strike 插件CrossC2(小白教程)](https://blog.csdn.net/m0_63239459/article/details/129444567)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [cobalt strike从入门到精通之插件开发(二)](https://blog.csdn.net/hyj123480/article/details/115418324)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值