CobaltStrike二次开发环境准备以及免杀

原创 已于 2022-10-10 17:06:43 修改 · 1w 阅读 · 69 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#intellij-idea #安全

于 2022-05-08 01:24:13 首次发布
本文详细描述了如何在Windows环境中反编译CobaltStrike 4.4,从注册Idea、原版下载到反编译、项目配置、暗桩去除、免杀策略,以及重写Stager和Beacon以提高隐蔽性。适合对CobaltStrike安全研究和定制感兴趣的读者。
该文章已生成可运行项目,

文章目录

前言

原版的CobaltStrike已经被各大杀毒软件给标记了,就算变换profile,stage和beacon也存在着许多特征,所以只能想办法来隐藏和去除,二次编译CobaltStrike就是一个很好的办法。

一、环境

win7_x64
jdk-11.0.14
Idea.2022.1
CobaltStrike_4.4

二、过程

1.注册Idea

Idea嫌麻烦没有整破解,用临时邮箱注册个账号用30天

在这里插入图片描述

在这里插入图片描述

2.原版CobaltStrike

找个CobaltStrike_4.4原版,我这里的例子是从k8gege那里下的:

https://github.com/k8gege/Aggressor/releases/tag/cs

别的地方的话,记得对下hash

https://verify.cobaltstrike.com/

3.开始反编译

然后我们使用IntelliJ IDEA自带的反编译java的工具(用jd-gui会卡死,不懂为什么,Luyten反编译出来挺多报错的,所以还是自带的好)
这个工具位置在:

..\JetBrains\IntelliJ IDEA 2022.1\plugins\java-decompiler\lib

将工具拷贝到如下图:
在这里插入图片描述
cs_bin里面放的是原版cobaltstrike.jar
命令如下:

java -cp java-decompiler.jar org.jetbrains.java.decompiler.main.decompiler.ConsoleDecompiler -dsg=true cs_bin/cobaltstrike.jar cs_src

如果用的是jdk8,会报如下错,没深究过为什么会报错,有知道的朋友可以告诉我
在这里插入图片描述
反编译完成后cs_src是一个jra文件,解压后就是.java
在这里插入图片描述

本文章已经生成可运行项目
最低0.47元/天 解锁文章
Cobalt Strike(完结)
qq_32445755的博客
04-18 1303
多字节 XOR 或 AES 加密的 shellcode 生成payload 环境 linux python2 工具ShellcodeWrapper 查看python位置 python -c "import sys; print sys.executable" pip2 安装 # 安装setuptools wget https://pypi.python.org/packages/source/s/setuptools/setuptools-18.5.tar.gz tar ..
【渗透测试】Cobalt Strike ,CS思路
最新发布
凪的博客
10-09 915
通过以上方法,可显著提升Cobalt Strike Payload的隐蔽性。:将主Payload加密后托管在远程服务器,Stager运行时动态解密加载。:Beacon通信流量与Google API请求高度相似,绕过网络层检测。通过自定义C2通信流量,模拟合法服务(如云平台、CDN)的流量特征。为Payload添加合法数字签名,或劫持带签名的系统程序。:在Beacon休眠时加密内存中的Shellcode。:创建挂起的合法进程,替换其内存为Shellcode。,降低初始文件的可疑性。将Payload拆分为。
124-CobaltStrike二次开发环境初探.pdf
09-20
124-CobaltStrike二次开发环境初探.pdf
SecondaryDevCobaltStrike:二次开发过后的CobaltStrike,版本为4.1.在原来CobaltStrike的基础上修改多处特征,解决流量查问题
04-16
先赞后看,已成习惯.如有后门,我必完蛋:star: 关于二次开发后的CobaltStrike 默认的CobaltStrike内存在多处流量特征,在马儿与服务端建立连接时进行流量交互.此间存在多处可疑特征已被各大软记录在册 如:卡巴斯基,诺顿,迈克菲等,但国内软并无此功能. 所以在客户端进行的同时服务端在流量交互方面也需要特征去除,才产生了二次开发CobaltStrike. 此次二开为CobaltStrike4.1版本. 效果截图 迈克菲截图 卡巴斯基截图 诺顿截图 注:所有的CobaltStrike上线未被查都基于客户端的马儿未被AV静态查的前提下,达到了动态. 使用方法 1.将cobaltstrike.jar文件替换服务端的原有jar 2.将cobaltstrike.jar文件替换客户端的原有jar 3.请确保服务端或客户端的Java环境在Jdk10以上(包含JDK10) 使用中
二次开发环境_CobaltStrike二次开发环境初探
weixin_30717229的博客
12-14 1443
这是酒仙桥六号部队的第124篇文章。全文共计2938个字,预计阅读时长9分钟。在我们使用cobaltstrike的过程中,会涉及到二次开发,从而使其功能上更加的健壮,不至于碰到软就软了的地步,本文从cobaltstrike的快速反编译到二次开发环境准备作为二次开发cobaltstrike的起步。IntelliJ IDEA自带了一个反编译java的工具,有时候我们需要对coba...
CobaltStrike使用-第九篇-
热门推荐
Love&Share
12-08 1万+
本篇将会介绍CS payload工具的使用 文章目录毒软件软常见扫描方式软扫描引擎常见技术工具使用HanzoInjectionInvoke-PSImagePython脚本封装Artifact KitVeil Evasion插件 常规毒软件的目的就是发现已知病毒并中止删除它,而作为攻击者则需要对病毒文件进行处理,从而使毒软件认为我们的文件是合法文件 毒软件 软常见扫描方式 扫描压缩包技术:即是对压缩包案和封装文件作分析检查的技术。 程序窜改防护:即是避恶意程序借由删除.
魔改CobaltStrike:二开及后门生成分析
mai1zhi2的博客
04-21 3821
一、概述: 这次文章主要介绍下Cobalt Strike 4.1相关功能的二开和后门(artifact.exe\beacon.exe)的生成方式,Cobalt Strike的jar包我已反编译,并改了下反编译后的bug,teamserver与agressor均能正常调试使用,附反编译后项目地址: https://github.com/mai1zhi2/CobaltstrikeSource 。若有不对的地方希望大伙指出,谢谢。后续将会再分享通讯协议与自定义客户端(后门)。PS:感谢Moriarty的分享课。
CobaltStrike 4.1二次开发揭秘:与流量交互的改进
资源摘要信息:"CobaltStrike二次开发版本4.1,针对流量查问题进行改进。" 在网络安全领域,Cobalt Strike是一款知名的渗透测试工具,常被安全研究人员和渗透测试人员用于模拟攻击者的攻击行为,以发现和修复系统...
cobalt strike从入门到精通之插件开发(二)
风炫的博客
04-03 1087
cobalt strike插件开发(二) 更多安全文章请关注! 0x05 监听器 监听器(Listeners)是Cobalt Strike处理bot发来的信息的核心模块。 0x0501 监听器API agscript会收集来自连接到的当前团队服务器的监听器的信息,这样做的好处是可以轻松地将会话转移给另一台团队服务器,想要获取所有监听器名称的列表可以使用&listeners函数,只使用本地侦听器的话用&listeners_local函数,&listener_info函数可将监听器名称解析为其配置信息,dem
Cobalt Strike搭建及基本用法
qq_19946787的博客
04-20 1562
Cobalt Strike是一款美国Red Team开发的内网渗透测试神器,常被业界人称为CS。最近这个工具大火, 成为了渗透测试中不可缺少的利器。其拥有多种协议主机上线方式,集成了提权,凭据导出,端口转 发,sock代理,office攻击,文件捆绑,钓鱼,密码读取等功能。同时,Cobalt Strike还可以调用 Mimikatz等其他知名工具,因此广受黑客喜爱。Cobalt Strike分为客户端和服务端可分布式操作可以协同作战,这也是它非常牛逼的地方。但一定要架 设在外网上。
CobaltStrike使用插件实现
m0_74025111的博客
04-24 1471
责声明:本工具仅供安全研究和教学目的使用,用户须自行承担因使用该工具而引起的一切法律及相关责任。作者概不对任何法律责任承担责任,且保留随时中止、修改或终止本工具的权利。使用者应当遵循当地法律法规,并理解并同意本声明的所有内容。找小的 ico 图标,比如 5kb、10kb 的。Cobalt Stirke 插件,依赖 nim。导入插件,点击Script Manager。启动cs,点击Connect。可以直接生成shell。
BadUSB简单一秒上线CobaltStrike.pdf
03-24
BadUSB简单一秒上线CobaltStrike.pdf
Cobalt_Strike_beacon上线Powershell1
08-03
第一步,创建监听器,并用对应的监听器生成的 "Powershell payload " 第二步,回到本地机器上,先准备好一张大点的图片,比如随便去找一张"192
1分钟了解Socket(1)
2401_84968612的博客
05-11 334
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
Cobalt Strike 客户端二开调试环境搭建
anddddoooo的博客
02-07 1457
jdk15.0.2idea 2022,并对比一下 HASH。
Cobalt Strike二开魔改&&
chinese_cabbage0的博客
06-26 1301
32px,logo是256。
Cobalt Strike使用hanzolnjection的
Blue的博客
08-31 1012
使用hanzolnjection的 一、介绍: Hanzoinjection介绍 对于,我们也可以使用cs生成一个二进制格式的payload,也就是raw格式,运行时我们需要借助hanzolnjection , HanzoIjection 是一种工具,专注于在内存中注入任意代码。 地址:https://github.com/P0cL4bs/hanzoInjection 命令解析: -e 跟上生成的bin文件即可 -p -o 输出的位置/名字 -h 帮助 二、安装 1.首先在wi...
简单的流程,软件使用方法与一点思路(Cobalt-strike)
weixin_74182283的博客
04-04 2589
字面意思,就是恶意软件或者木马,通过对其进行修改,导致毒软件扫描时会默认这款恶意软件是个安全的软件,导致恶意软件成功上传到电脑。通常在渗透测试的过程中,想要进入别人内网,就需要通过一些木马或者一些程序上传至别人内网,从而得到对方内网的权限。正常情况下,linux内可能没啥毒软件,但windows系统下的毒软件就各种各样,而我们的木马刚传上去就会被掉,这时如果懂得如何去对上传的马做一个,使其顺利通过防火墙就显得非常重要了。
Cobalt Strike CS2 Beacon技术分析
syg6921008的博客
04-03 2226
Cobalt Strike 2/4.x (CS2) 是当前红队演练和APT模拟中最常用的控制框架。由于它的 Beacon payload 默认给出的可执行文件、加载器和 shellcode 均已被大量毒软件加入特征并纵向检测,因此,Beacon 处理是正常使用的必须技术前缀。技术分为静态,动态,行为干扰,内存和正常行为防护等方面,以下进行精细分类。利用 VirtualAlloc / VirtualProtect 创建可执行内存段自定义 shellcode 解密流程。
评论 5
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值