CobaltStrike逆向学习系列(8):Beacon 结果回传流程分析

最新推荐文章于 2022-02-03 18:19:33 发布
最新推荐文章于 2022-02-03 18:19:33 发布
阅读量3.1k 收藏
点赞数
分类专栏: CobaltStrike 深入学习 逆向分析 文章标签: 系统安全 web安全 安全 安全架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/secsource_stars/article/details/122577169
版权
本文是CobaltStrike逆向学习系列的第八篇,主要分析Beacon如何将执行命令的结果加密回传给TeamServer,以及TeamServer如何处理并回传给Controller。内容涉及Beacon接收与处理命令、结果回传的流程,包括数据的加密解密、Hmac校验、防止重播攻击等环节。
摘要由CSDN通过智能技术生成

这是[信安成长计划]的第 8 篇文章
关注微信公众号[信安成长计划]
在这里插入图片描述

0x00 目录

0x01 Beacon 接收与处理

0x02 结果回传

Beacon 在接受完命令并执行后,会将数据加密回传给 TeamServer,TeamServer 进行解析后,并根据类型对结果的格式进行处理后,再回传给 Controller

0x01 Beacon 接收与处理

直接在通信相关函数上下断,HttpSendRequest 发送任务,InternetReadFile 接收任务

图片

跟出函数以后再根据其上下文分析,也就能推断出大致范围

图片

同理在回结果的时候也是一样,这样也就大致确定了整个处理逻辑的代码范围,在这之间进行任务接收、解密、执行、结果回传等

图片

0x02 结果回传

在 Beacon 回结果的时候依然是从 WebServer 接收,继续走了 Malleab

最低0.47元/天 解锁文章
信安成长计划@Stars
关注
专栏目录
CobaltStrike逆向学习系列(4):Beacon 上线协议分析
SecSource_Stars的博客
01-10 364
这是[信安成长计划]的第 4 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 Beacon 发送 0x02 TeamServer 处理 0x03 流程图 0x04 参考文章 在上一篇讲解 C2Profile 解析的时候,已经提到过如何断入到真正的 beacon.dll 当中,并且也清楚了它执行时的调用顺序,Beacon 上线的所有流程也都是在第二次主动调用 DLLMain 时执行的。 因为主要说明的是上线流程,功能性的暂且不提,但是中间会穿插 C2Profile 的读取操作。 0x01
逆向分析Cobalt Strike安装后门
最新发布
pandazhengzheng的博客
02-23 1327
逆向分析Cobalt Strike安装后门
CobaltStrike逆向学习系列(2):Stageless Beacon 生成流程分析
无心的博客
01-14 327
这是[信安成长计划]的第 2 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 Patch Beacon 0x02 Patch Loader 0x03 文件对比 0x04 流程CobaltStrikeBeacon 生成分为两种,Stage Beacon 和 Stageless Beacon,这次主要来说明的是无阶段的 Stageless Beacon,最终文件比较大,不用从网络中来拉取。 本文的分析流程使用的 payload 是 windows/beacon_http/rever
CobaltStrike逆向学习系列(11):自实现 Beacon 检测工具
SecSource_Stars的博客
02-03 779
这是[信安成长计划]的第 11 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 检测原理 0x02 检测方案 0x03 存在的问题 0x04 解决方案 0x05 示例代码 0x06 写在最后 年也过了,继续开始卷卷卷… 目前使用比较多的检测工具就是 BeaconEye,在之前的文章中也已经提到过它的检测原理与 Bypass 的方法《Bypass BeaconEye》《Bypass BeaconEye - Beacon 堆混淆》,BeaconEye 所依赖的就是 C2Profile 解析后
【调试笔记】Cobalt Strike - Beacon信标快速分析
JiangBuLiu的博客
08-04 1676
流程为:宏代码释放的dll→exe加载的.dll(常见的白加黑)→解密ShellCode2的ShellCode1→ShellCode2→下载文件到本地 宏代码释放Dll1,并执行其导出函数 Dll1有80+MB没法跟: 宏代码执行Dll1的导出函数后,通过动态可以看到,最后会释放白加黑的exe和dll,所以基本不跟。 白加黑的Dll2 执行后通过VirtualAlloc申请一段内存空间,然后写入将要执行的ShellCode1。 首先在VirtualAlloc下断点,bp VirtualAlloc: 然后
CobaltStrike逆向学习系列(6):Beacon sleep_mask 分析
SecSource_Stars的博客
01-11 469
这是[信安成长计划]的第 6 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 C2Profile 分析 0x02 set userwx “true” 0x03 set userwx “false” CobaltStrike 提供了一个内存混淆功能,它会在 Sleep 的时候将自身混淆从而避免一定的检测 0x01 C2Profile 分析 因为 sleep_mask 是从 C2Profile 中设置的,所以就需要先搞清楚 TeamServer 是如何解析的 很明显它还跟其他的设置项有关,
CobaltStrike逆向学习系列(3):Beacon C2Profile 解析
SecSource_Stars的博客
01-10 678
这是[信安成长计划]的第 3 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 Controller 端分析 0x02 Beacon分析 0x03 展示图 在上一篇文章中完成了 Stageless Beacon 生成的分析,接下来就是对 Beacon分析了,在分析上线之前先将 C2Profile 的解析理清楚,因为 Beacon 中大量的内容都是由 C2Profile 决定的。 而且,目前 C2Profile 也是被作为检测 CobaltStrike 的一种手段,只有在理解了它的实
如何使用BeaconEye监控CobaltStrikeBeacon
MSB_WLAQ的博客
10-07 1031
关于BeaconEye BeaconEye是一款针对CobaltStrike安全工具,该工具可以扫描正在运行的主动CobaltStrike Beacon。当BeaconEye扫描到了正在运行Beacon的进程之后,BeaconEye将会监控每一个进程以查看C2活动。 工作机制 BeaconEye将会扫描活动进程或MiniDump文件,以尝试检测CobaltStrike Beacon。在活动进程模式下,CobaltStrike Beacon可以将其以调试器的身份与目标进程绑定,监控Beaco...
CobaltStrike(beacon.dll)样本赏析
yellow的博客
02-08 2038
CobaltStrike样本特点赏析
Cobalt StrikeBeacon原理浅析
Ms08067安全实验室
03-06 2004
Hello大家好哇,我是你们可爱的lmn小姐姐,今天我们来研究一下Beacon的一些基础知识,如果有师傅没有看过这个系列之前的文章,可以点击下方图片阅读。Cobalt Strike 作为...
cobalt strike各种beacon的详解(http/https/tcp)
热门推荐
Shanfenglan's blog
08-06 35万+
Beacon Cobalt strike4.0开始就只有这几种beacon,下面对其进行一一讲述,先得创建对应的listener,之后根据创建好的listener生成木马文件,文件运行后返回对应的beacon,至于beacon到底是个什么东西可以看我的这篇文章。这里我们先讲述几种比较简单的易于理解的beacon。 附录 beacon与c2通信逻辑 1.stager的beacon会先下载完整的payload执行,stage则省略这一步 2.beacon进入睡眠状态,结束睡眠状态后用 http-get方
CobaltStrike Listener介绍
qq_45434762的博客
11-28 1356
Beacon DNS使用Beacon DNS其实是单,比如我现在有一个域名windowsupdate.icu那么我只需要添加两条解析记录即可首先为域名添加一个A记录,解析指向的地址填CS...
IBeacon协议分析
ALDRIDGE1的专栏
01-16 1万+
IBeacon协议分析 跳转至: 导航、 搜索 对于一个UUID是E2C56DB5-DFFB-48D2-B060-D0F5A71096E0, major是0, minjor是0的iBeacon,此时的Tx的信号是-59 RSSI,他的BLE的广播包如下: d6 be 89 8e 40 24 05 a2 17 6e 3d 71 02 01 1a 1a ff 4c 00 02 15 e2
CobaltStrike使用-第八篇-隧道技术(socks转发、ssh隧道、CS转发监听器)
Love&Share
12-07 4678
文章目录流量转发Socks转发MSF 连接到 Socks 代理服务使用 ProxyChains 进行代理转发转发监听器(反向链接)SSH隧道参考链接 本篇文章将会结合CS介绍在内网渗透中经常用到的隧道技术,这已经是第二次介绍隧道技术了,本篇环境将会比第一篇复杂,第一篇链接在这,我是链接 流量转发 Socks转发 目前已经拿到了server2008-2的会话,但是域控主机在内网,不能和CS TeamServer直接通信,所以需要添加代理转发 在进行转发操作之前,需要将当前会话改为交互模式,也就是说输入命.
Cobaltstrike系列教程(三)beacon详解
J0o1ey Blog
08-01 1万+
0x000–前文 有技术交流或渗透测试培训需求的朋友欢迎联系QQ547006660 2000人网络安全交流群,欢迎大佬们来玩 0x001-Beacon详解 1.Beacon命令 大家通过系列教程(二)的学习,配置好Listner,让目标机执行我们的Payload/后门程序后,即可发现目标机已经上线 右键目标interact来使用Beacon,我们用它来执行各种命令 ※在Cobalt Stri...
【Wi-Fi 802.11协议】管理帧 之 Beacon帧详解
luffy5的博客
11-23 3万+
Beacon帧简介 信标帧,由AP以一定的时间间隔周期性发出,以此来告诉外界自己无线网络的存在。 Beacon帧组成 下图为Beacon帧的组成 下图为抓包所得(AP为2.4g 11n模式),Packet Info为抓包软件自己添加的字段,可以看到一些基本信息,这里不做分析。 802.11 MAC Header 仔细观察不难发现,802.11 MAC Header 图中的字段与帧组成图中的帧相对应。 Frame Control Version:版本号     目
CobaltStrike逆向分析深度探索
"CobaltStrike逆向学习系列是一份深度探讨网络安全领域的参考资料,主要针对CobaltStrike逆向工程、渗透测试和二次开发。文章涵盖了CobaltStrike的各种核心组件和流程,如登陆通信、Stageless Beacon生成、Beacon ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值