CobaltStrike攻击用到的二进制文件

最新推荐文章于 2021-12-16 10:20:04 发布
最新推荐文章于 2021-12-16 10:20:04 发布
阅读量325 收藏
点赞数
分类专栏: Windows病毒分析 Windows逆向 文章标签: c# python windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43312649/article/details/119895239
版权

Attack

HTML Application Attack

Cobalt Strike 是 Raphael Mudge 在 2012 年创建的渗透测试工具。简称CS。 时至今日,它仍然在红队活动中非常流行,并被威胁参与者用于恶意目的。Cobalt Strike 因其广泛的部署选项、易用性、避免被安全产品检测的能力以及它拥有的功能数量而广受欢迎。正是出于这些原因,威胁行为者也喜欢 Cobalt Strike。由于 Cobalt Strike 被一系列黑客广泛使用,其缺乏排他性使得归因更加困难。由于 Cobalt Strike 拥有各种防御规避技术,公司仍然难以发现它。本文所说是指CS4.3版本。
在这里插入图片描述

生成的是一个hta文件。运行后启动powershell,执行一大坨base64编码的代码。
在这里插入图片描述

第一段解密之后的powershe

了解本专栏 订阅专栏 解锁全文 超级会员免费看
摔不死的笨鸟
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
Cobalt Strike (CS) 逆向初探
悦分享
08-03 674
当进入第三段文件执行的时候,就算是真正开始了远控文件的旅行,不过那是另一段旅程了,就不在这篇文章里写了(必经本篇篇幅已经好多)。但是,还是还是简单的把那个文件的一些分析写在下面。考虑到已经进入一个远控软件的核心功能部分,按照我的想法,为了方便,还是把内存dump下来,通过静态和动态结合的方式来。因此,祭出Scylla。首先运行到新内存区域入口处:然后点转储内存:选择所处模块的区域,转储PE,因为该修复的都修复了,所以直接转pe文件,也不同修复转储了。(后面的.mem文件要不要都无所谓了)。.........
Cobalt Strike中各种攻击脚本
2ed
08-18 4389
cs攻击脚本位于Attacks中 packages模块 HTML Application 生成恶意的HTA木马文件; MS Office Macro 生成office宏病毒文件; Payload Generator 生成各种语言版本的payload; USB/CD AutoPlay 生成利用自动播放运行的木马文件Windows Dropper 捆绑器,能够对文档类进行捆绑;...
带你走进二进制-一次APT攻击分析
dfdhxb995397的博客
08-10 259
原文:https://osandamalith.com/2017/06/04/apt-attack-in-bangladesh/ 由prison翻译整理,首发i春秋 引言; 这是一次来自遥远国度的APT攻击分析样本范例,本文作者将带领你体验二进制漏洞分析的乐趣。 过程非常详细,附带所需样本,适合新手。难度三颗星。 目标文件: http...
DoS、DDoS工具Cobalt Strike
songbai220
12-11 555
Cobalt Strike 简介 Cobalt Strike是一款美国Red Team开发的渗透测试神器,常被业界人称为CS。最近这个工具大火,成为了渗透测试中不可缺少的利器。其拥有多种协议主机上线方式,集成了提权,凭据导出,端口转发,socket代理,office攻击文件捆绑,钓鱼等功能。同时,Cobalt Strike还可以调用Mimikatz等其他知名工具,因此广受黑客喜爱。 Cobalt Strike分为客户端和服务端可分布式操作可以协同作战。但一定要架设在外网上。当然你知道利用这款工具主要用于内
CobaltStrike使用-第九篇-免杀
Love&Share
12-08 6964
本篇将会介绍CS payload免杀工具的使用 文章目录杀毒软件杀软常见扫描方式杀软扫描引擎常见免杀技术免杀工具使用HanzoInjectionInvoke-PSImagePython脚本封装Artifact KitVeil Evasion免杀插件 常规杀毒软件的目的就是发现已知病毒并中止删除它,而作为攻击者则需要对病毒文件进行免杀处理,从而使杀毒软件认为我们的文件是合法文件 杀毒软件 杀软常见扫描方式 扫描压缩包技术:即是对压缩包案和封装文件作分析检查的技术。 程序窜改防护:即是避免恶意程序借由删除杀.
Binary Viewer二进制文件读取软件
07-10
**二进制文件读取与Binary Viewer** 在计算机科学领域,二进制文件是指由机器可以直接理解和执行的数据格式,它们不包含任何人类可读的文本信息。这些文件通常包括音频、视频、图像、程序和系统文件等。由于二进制...
查看二进制文件的常用软件
04-18
在IT领域,尤其是在系统开发、数据分析或软件调试中,经常需要查看和操作二进制文件二进制文件不同于常见的文本文件,它们包含的是机器可读的0和1数据流,而非人类易读的字符。因此,需要专门的工具来查看和分析这...
LabVIEW的写入二进制文件
01-19
“写入二进制文件”位于函数选板的“编程→文件I/O一写入二进制文件”,图标和接线端如图1所示。  输入和输出接线端的说明如下。  prepend arrav Or string slze?:预置数组或字符串大小,指定是否包含写入...
Labview中对于二进制文件的读写
最新发布
05-05
包含了一些展示软件,涉及Labview中对于二进制文件的读写
C#读取二进制文件方法分析
12-26
本文较为详细的分析了C#读取二进制文件方法。分享给大家供大家参考。具体分析如下: 当想到所有文件都转换为 XML时,确实是一件好事。但是,这并非事实。仍旧还有大量的文件格式不是XML,甚至也不是ASCII。二进制...
geacon:练习Go编程并在Go中实现CobaltStrike的Beacon
03-21
盖康 使用Go来实现CobaltStrike的信标 该项目仅用于学习协议分析和逆向工程,如果有人的权利受到侵犯,请与我联系以删除该项目,最后一个请勿非法使用 怎么玩 设置团队服务器并启动http许可,团队服务器将生成文件.cobaltstrike.beacon_keys 。 使用Jetbrains Idea编译BeaconTool,使用命令java -jar BeaconTool.jar将Java密钥库转换为PEM格式。 将RSA密钥对替换为cmd/config/config.go文件(不需要RSA私钥,我在代码中仅出于记录目的写了它) 无论您要运行什么平台,都可以编译geacon:例如,使用命令export GOOS="darwin" && export GOARCH="amd64" && go build cmd/main.go来编译在MacOS上运行的可执行二进制文件。 正玩得开心
cobaltstrike-win
05-05
cobaltstrike3.12,windows下版本,Cobalt Strike是一款美国Red Team开发的渗透测试神器,常被业界人称为CS,最近这个工具大火,成为了渗透测试中不可缺少的利器。其拥有多种协议主机上线方式,集成了提权,凭据导出,端口转发,socket代理,office攻击文件捆绑,钓鱼等功能。同时,Cobalt Strike还可以调用Mimikatz等其他知名工具,因此广受黑客喜爱。
Cobalt Strike详细使用教程
小小猪的博客
12-16 7033
Cobalt Strike详细使用教程 Cobalt Strike安装教程这里就不在赘述了 Cobalt Strike安装教程 监听器 listner: 创建监听器 Add 添加新的监听 edit 编辑已有监听 remove 删除监听 restart 重启监听 要添加监听器可以点击Add,这里的监听器根据所通过的协议和监听器位置分为8种 不同监听介绍: 1.beacon dns 2.beacon http 3.beacon https 4.beacon smb 5.bea..
cobaltstrike生成一个原生c,然后利用xor加密解密执行
qq_41683305的博客
02-24 1520
首先cobaltstrike生成一个原生c,我的是: /* length: 797 bytes */ unsigned char buf[] = "\xfc\xe8\x89\x00\x00\x00\x60\x89\xe5\x31\xd2\x64\x8b\x52\x30\x8b\x52\x0c" "\x8b\x52\x14\x8b\x72\x28\x0f\xb7\x4a\x26\x31\xff\x...
神兵利器--Cobalt Strike
Grey的博客
04-10 4038
前言经常看到披露出来APT(Advanced Persistent Threat) 高级持续性威胁报告,据目前我所了解到的有常用两种攻击手法还有更多种手法水坑式攻击和鱼叉式钓鱼邮件攻击手法。其实我也想模仿这样攻击手法在渗透时候遇到有些目标简直是无从下手。很早之前就接触了Metasploit工具内网渗透非常强大,当时用过Cobalt Strike 2.0版本主要是结合Metasploit可以称为图形...
Cobalt Strike 4.0-渗透攻击-First day
qq_34801745的博客
10-30 4312
** Cobalt Strike 4.0-渗透攻击-First day(dayu) ** 作者:大余 时间:2020-10-30 请注意:对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。 我必须再重申一遍:务必不要做未授权测试!不要未经授权在真实网络环境中复现任何文章中描述的攻击。即使是出于好奇而不是恶意,你仍然会因未授权测试行为而陷入很多麻烦。为了个人能
Cobalt Strike DLL用于永恒之蓝注入
46的十哥哥的5哥哥
02-05 2313
来自:5号黯区 5号黯区是一支致力于红队攻防研究与培训的团队,官网:http://www.dark5.net 我们在对存在MS17010的漏洞主机进行DLL注入的时候,一般都是用的Meataploit的msfvenom生成出来的,所以每次上线之后基本都是要经过相对比较繁琐的操作之后转到Cobalt Strike去,这样就会显得非常麻烦。 所以可以使用metasploit的msfvenom来...
木马免杀实践-golang
网络安全。
08-09 2031
0x01 简介 这里以github上一个golang免杀项目为例,项目地址:https://github.com/yumusb/CS-Loader/tree/master/go%E7%89%88%E6%9C%AC,原项目使用方法如下,根据其要求生成cobaltstrike木马后,上传virustotal,免杀效果已经比较差了,且生成木马大小为5.9M,比较大。 0x02 解读原项目 原项目–python加密部分 此项目加密shellcode采用的方式是base64 -> RC4加密 -> bas
【调试笔记】Cobalt Strike - Beacon信标快速分析
JiangBuLiu的博客
08-04 1632
流程为:宏代码释放的dll→exe加载的.dll(常见的白加黑)→解密ShellCode2的ShellCode1→ShellCode2→下载文件到本地 宏代码释放Dll1,并执行其导出函数 Dll1有80+MB没法跟: 宏代码执行Dll1的导出函数后,通过动态可以看到,最后会释放白加黑的exe和dll,所以基本不跟。 白加黑的Dll2 执行后通过VirtualAlloc申请一段内存空间,然后写入将要执行的ShellCode1。 首先在VirtualAlloc下断点,bp VirtualAlloc: 然后

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

摔不死的笨鸟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值