CobaltStrike逆向学习系列(6):Beacon sleep_mask 分析

最新推荐文章于 2024-02-23 08:00:47 发布
最新推荐文章于 2024-02-23 08:00:47 发布
阅读量469 收藏
点赞数
分类专栏: CobaltStrike 深入学习 逆向分析 文章标签: 系统安全 web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/secsource_stars/article/details/122428247
版权
本文是CobaltStrike逆向学习系列的第六篇,主要分析了C2Profile中的sleep_mask设置,探讨了其如何影响内存混淆。当set userwx为“true”时,CobaltStrike会混淆text段,通过CryptoAPI或自定义算法生成密钥进行加解密。而在set userwx为“false”时,text段不会混淆,保持原始状态。通过对混淆前后Sleep和接收命令时的代码段状态对比,展示了sleep_mask功能的实际效果。
摘要由CSDN通过智能技术生成

这是[信安成长计划]的第 6 篇文章
关注微信公众号[信安成长计划]
在这里插入图片描述

0x00 目录

0x01 C2Profile 分析

0x02 set userwx “true”

0x03 set userwx “false”

CobaltStrike 提供了一个内存混淆功能,它会在 Sleep 的时候将自身混淆从而避免一定的检测

0x01 C2Profile 分析

因为 sleep_mask 是从 C2Profile 中设置的,所以就需要先搞清楚 TeamServer 是如何解析的

图片

很明显它还跟其他的设置项有关,这里我们重点关注一下 rwx 的设置

图片

首先会将 text 段的结尾地址存储到 index=41 的位置

图片

接着判断了 text 段与 rdata 段中间的空白位置够不够 256 个字节,推测会将加解密函数放在这里

最低0.47元/天 解锁文章
信安成长计划@Stars
关注
专栏目录
Cobalt Strike (CS) 逆向初探
悦分享
08-03 742
当进入第三段文件执行的时候,就算是真正开始了远控文件的旅行,不过那是另一段旅程了,就不在这篇文章里写了(必经本篇篇幅已经好多)。但是,还是还是简单的把那个文件的一些分析写在下面。考虑到已经进入一个远控软件的核心功能部分,按照我的想法,为了方便,还是把内存dump下来,通过静态和动态结合的方式来。因此,祭出Scylla。首先运行到新内存区域入口处:然后点转储内存:选择所处模块的区域,转储PE,因为该修复的都修复了,所以直接转pe文件,也不同修复转储了。(后面的.mem文件要不要都无所谓了)。.........
Cobalt Strike使用教程——基础篇
Captain_RB的博客
06-10 2万+
本文主要介绍 **Cobalt Strike** 4.3 的基本功能及使用方法
CobaltStrike XSS
黑剑
09-29 560
发现即使未设置 stage.sleep_mask(即设置为 false),Beacon 也会继续为睡眠掩码 BOF 保留内存。现在这个问题已经解决了。Cobalt Strike 还解决了 4.7 版本发布后不久发现的一个漏洞,以及针对 teamserver 的潜在拒绝服务攻击的缓解措施。由于在 teamserver 中发现了 XSS 漏洞,攻击者可能会通过在 Beacon 配置中设置假用户名来远程执行代码。Cobalt Strike 4.7.1 带外更新修复了 4.7 版中受影响用户报告的问题。
逆向分析Cobalt Strike安装后门
最新发布
pandazhengzheng的博客
02-23 1327
逆向分析Cobalt Strike安装后门
CobaltStrike逆向学习系列(9):Bypass BeaconEye - Beacon 堆混淆
SecSource_Stars的博客
01-21 669
这是[信安成长计划]的第 9 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 CS4.5 Sleep_Mask 0x02 HeapEncrypt 0x03 效果 0x04 参考文章 在之前的文章《Bypass BeaconEye》中提过了两个 Bypass BeaconEye 的方法,都是通过打乱 C2Profile 结构来做的,还有另外一种方式就是在 Sleep 的时候加密堆内存,在 CS4.5 中也对 Sleep_Mask 进行了更新 0x01 CS4.5 Sleep_Mask 根据
CobaltStrike逆向学习系列(3):Beacon C2Profile 解析
SecSource_Stars的博客
01-10 678
这是[信安成长计划]的第 3 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 Controller 端分析 0x02 Beacon分析 0x03 展示图 在上一篇文章中完成了 Stageless Beacon 生成的分析,接下来就是对 Beacon分析了,在分析上线之前先将 C2Profile 的解析理清楚,因为 Beacon 中大量的内容都是由 C2Profile 决定的。 而且,目前 C2Profile 也是被作为检测 CobaltStrike 的一种手段,只有在理解了它的实
CobaltStrike逆向学习系列(4):Beacon 上线协议分析
SecSource_Stars的博客
01-10 364
这是[信安成长计划]的第 4 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 Beacon 发送 0x02 TeamServer 处理 0x03 流程图 0x04 参考文章 在上一篇讲解 C2Profile 解析的时候,已经提到过如何断入到真正的 beacon.dll 当中,并且也清楚了它执行时的调用顺序,Beacon 上线的所有流程也都是在第二次主动调用 DLLMain 时执行的。 因为主要说明的是上线流程,功能性的暂且不提,但是中间会穿插 C2Profile 的读取操作。 0x01
CobaltStrike逆向学习系列-主线篇
02-22
CobaltStrike逆向学习系列-主线篇】 在网络安全领域,CobaltStrike是一款广泛使用的渗透测试工具,尤其在红队操作和安全研究中扮演重要角色。逆向分析CobaltStrike能帮助我们深入理解其工作原理,为二次开发和...
CobaltStrike视频教程
04-20
本套视频教程主要讲的CobaltStrike工具使用,通过学习这套视频教程可以深入了解CobaltStrike,全是用真实服务器与cdn进行实战练习,对后期渗透测试、溯源、反制有一个很大的提升。
渗透工具之CS4.0使用说明书
m0_59991869的博客
10-14 4833
CS4.0使用说明书 目录 安装 使用 运行 监听器 listner 使用 不同监听介绍 木马 生成后门 钓鱼攻击 邮件钓鱼 功能 上部选项栏 下部工具栏 beacon的使用 会话功能 安装使用 安装 系统环境:需要java环境Oracle Java 1.8,Oracle Java 11 下载解压就可以使用 使用 首先要运行服务端,如果你有个外网的机器,可以把服务端运行于外网的机器上,也可以运行于本地 服务端启动命令 windows 运行teamserver
malleable_profile文件配置概述
热门推荐
Shanfenglan's blog
08-04 35万+
参考:Cobalt Strike Malleable C2 配置 通用知识概述 上面四条叫做终止语句。作用是将数据存储到不同的地方,由上到下依次为http头,get请求中,http body中,url中。 上图为数据转换语言。就是将传输的数据进行格式的转化。其中append与prepend是可以混合使用的,例如在真正的数据前后分别加上干扰数据,这样子能一定程度隐藏数据。 netbios是smb传输的时候根据主机名的编码方式,mask为异或,base64url编码后的数据是可以直接放在url中的
Cobaltstrike去除特征
Ms08067安全实验室
12-02 6161
本文作者:BlackCat(Ms08067实验室内网小组成员)前言:红蓝对抗的时候,如果未修改CS特征、容易被蓝队溯源。去特征的几种方法:1、更改默认端口方法一、直接编辑teamser...
CS中Beacon的使用
weixin_43815032的博客
12-05 4506
Beacons的介绍 BeaconCobalt Strike为高级攻击者建模的Payload。使用Beacon通过HTTP,HTTPS或DNS出口网络。而且Beacon非常灵活,支持异步和交互式通信。异步通信既低又慢。Beacon将通讯本地,下载任务,然后进入睡眠状态。交互式通信实时发生。 ...
Cobalt Strike使用教程一
迷风小白
10-24 7万+
0x00 简介 Cobalt Strike是一款基于java的渗透测试神器,常被业界人称为CS神器。自3.0以后已经不在使用Metasploit框架而作为一个独立的平台使用,分为客户端与服务端,服务端是一个,客户端可以有多个,非常适合团队协同作战,多个攻击者可以同时连接到一个团队服务器上,共享攻击资源与目标信息和sessions,可模拟APT做模拟对抗,进行内网渗透。 Cobalt Strike集...
CobaltStrike 插件编写入门教程
weixin_42282189的博客
09-08 1184
作者: 飞天魔鬼 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 简介 这篇文章主要以写一个判断beacon中存在的杀软进程脚本为例子来介绍如何去尝试从零开始写一个cobaltstrike插件。 cobaltstrike中aggressor-script是建立在sleep脚本之上,本篇文章涉及简单的sleep脚本基础,和cobaltstrike内置函数和事件的调用。 先看效果: 参考链接: https://www.cobaltstrike.com/aggressor-scri.
Cobalt Strike 简单使用
SoulCat
08-29 4345
Cobalt Strike 简单使用 我在最没有能力的年纪,碰见了最想照顾一生的人。 概述: Cobalt Strike是一款内网渗透测试神器,一个服务端,多个客户端,这样最大好处就是可以团队合作。Cobalt Strike集成了很多工具,如多模式监听(dns.smb等)、多种代理转发,自定义脚本以及生成各种版本木马,各种病毒,各种payload,进行网站克隆,钓鱼攻击等等,更方便快速的获取...
大厂面试(安全岗)
weixin_43570648的博客
09-12 478
这些是今年3-9月份各个大厂问我的一些问题,这里给出了我的一些解决方案,包括阿里,腾讯,字节,美团问道的一些问题,当然有一些问题我没有给出答案(涉及到自己的一些技巧),也有一些常规问题没有罗列,比如自我介绍,项目经验,还有根据你的简历问的东西我就没有罗列出来,以及一些非常简单的问题我也没有罗列出来,比如sqlmap --os-shell原理是啥,ok 1.shiro反序列化 shiro550(命令=>序列化=>AES加密=>base64编码=>RememberMe Cookie值)
CobaltStrike逆向分析深度探索
"CobaltStrike逆向学习系列是一份深度探讨网络安全领域的参考资料,主要针对CobaltStrike逆向工程、渗透测试和二次开发。文章涵盖了CobaltStrike的各种核心组件和流程,如登陆通信、Stageless Beacon生成、Beacon ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值