CobaltStrike逆向学习系列(11):自实现 Beacon 检测工具

已于 2022-02-03 18:20:19 修改
阅读量779 收藏
点赞数
分类专栏: CobaltStrike 深入学习 逆向分析 文章标签: 安全 系统安全 web安全 安全架构
于 2022-02-03 18:19:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/secsource_stars/article/details/122777615
版权

这是[信安成长计划]的第 11 篇文章
关注微信公众号[信安成长计划]
在这里插入图片描述

0x00 目录

0x01 检测原理

0x02 检测方案

0x03 存在的问题

0x04 解决方案

0x05 示例代码

0x06 写在最后

年也过了,继续开始卷卷卷…

目前使用比较多的检测工具就是 BeaconEye,在之前的文章中也已经提到过它的检测原理与 Bypass 的方法《Bypass BeaconEye》《Bypass BeaconEye - Beacon 堆混淆》,BeaconEye 所依赖的就是 C2Profile 解析后的内存结构来检测的,根据之前逆向分析的成果,发现还有一种检测的方案而且也相对增加了绕过的难度

0x01 检测原理

BeaconEye 所依赖的是 C2Profile 解析后的固定内存结构,对于其解析的逻辑在之前也已经提到过了,这里也就不详细说了

图片

对于 Beacon 的检测,针对 C2Profile 是一个比较稳妥的方案,这样会降低误报的概率,所以还是按照这个逻辑继续走才比较稳妥,所以检测逻辑就可以从检测 C2Profile 数据,改变为检测解析 C2Profile 的代码,或者获取 C2Profile 数据的函数

根据之前对 C2Profile 全流程的分析,这里就可以有四个检测方案——解析函数、GetShortValue、GetIntValue、GetPtrValue

0x02 检测方案

在检测的时候,可以直接将整个函数都作为特征,为了方便起见,也可以再缩小检测范围,这里以 GetShortValue 为例

图片

经过观察可以发现,所有的获取函数在获取完值以后,都会再判断一下当前的类型是否正确,所以就可以把这一点拉出来作为检测的一个特征

图片

再或者将寄存器取值作为特征也都是可行的,而且还能跟其他几个点进行配合,相互之间的组合方式也就有很多种了

0x03 存在的问题

以这些点来作为特征也存在一个问题,CS 自带的 Sleep_Mask 会在 Sleep 的时候将整块内存都进行混淆,我们之前也进行过分析它具体的实现原理,所以还需要在对之前的检测方案进行完善

图片

根据之前的混淆逻辑可以很清楚的发现,CS 是将加解密函数拷贝到了 text 段的结尾位置,并且在处理完以后当前内存就一直存在了,不会去对其进行清理

0x04 解决方案

既然这样,那就直接按照前面所说的逻辑,直接将加解密函数作为特征来完成对 Beacon 的检测

图片

如果计划缩小特征码,逻辑也与之前一致,从中间取出关键的几个步骤即可

0x05 示例代码

想了想代码还是交给你们自己写吧,将上面提到的几个方案的特征提取出来,在全内存中进行搜索即可

在网上搜 “内存搜索特征码” 也能找到很多可以来参考的例子

0x06 写在最后

其实整个的操作就是在进行特征码的搜索,这也就是被针对以后的问题了,倒是不是不能 Bypass,就是会比之前更麻烦一点,就是进行 inline Hook 关键的位置,然后将原始的内容抹零就好了。

信安成长计划@Stars
关注
专栏目录
Cobalt Strike (CS) 逆向初探
悦分享
08-03 742
当进入第三段文件执行的时候,就算是真正开始了远控文件的旅行,不过那是另一段旅程了,就不在这篇文章里写了(必经本篇篇幅已经好多)。但是,还是还是简单的把那个文件的一些分析写在下面。考虑到已经进入一个远控软件的核心功能部分,按照我的想法,为了方便,还是把内存dump下来,通过静态和动态结合的方式来。因此,祭出Scylla。首先运行到新内存区域入口处:然后点转储内存:选择所处模块的区域,转储PE,因为该修复的都修复了,所以直接转pe文件,也不同修复转储了。(后面的.mem文件要不要都无所谓了)。.........
CobaltStrike逆向学习系列(10):TeamServer 启动流程分析
SecSource_Stars的博客
01-28 839
这是[信安成长计划]的第 10 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 基本校验与解析 0x02 初始化 0x03 启动 Listeners 在之前的分析中,都是针对 CobaltStrike 整体通信流程的,也就忽略了中间的一些细节,其中一些细节对理解整个 CobaltStrike 也是非常重要的 0x01 基本校验与解析 先取了默认端口 接着对 Java 环境及一些参数进行了验证,并校验了 license 这里重点看一下对于参数的检测,可以看到有校验两个参数是否存在,当你
CobaltStrike逆向学习系列(1):CS 登陆通信流程分析
无心的博客
01-14 468
这是[信安成长计划]的第 1 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 密码校验 0x02 aggressor.authenticate 0x03 aggressor.metadata 0x04 数据同步 0x05 流程图 0x06 参考文章 先统一一下后续文章所提到的一些名词,以确保大家都在聊同一个东西,文中将 CobaltStrike分为 Controller、TeamServer、Beacon 三端,本文所描述的是 TeamServer 启动之后,从 Controller 登
BeaconTools 使用教程
最新发布
gitblog_00061的博客
09-01 483
BeaconTools 使用教程 beacontoolsA Python beacon scanning library.项目地址:https://gitcode.com/gh_mirrors/be/beacontools 项目介绍 BeaconTools 是一个用于处理各种类型蓝牙低功耗(Bluetooth LE)信标的 Python 库。它支持 iBeacon、Eddystone 和 Est...
CobaltStrike逆向学习系列(7):Controller 任务发布流程分析
无心的博客
01-14 301
这是[信安成长计划]的第 7 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 Controller->TeamServer 0x02 TeamServer->Beacon 0x03 流程图 所有的任务在 Controller 处理以后,都会直接发送到 TeamServer,接着等待 Beacon 回连的时候将任务取走,文章以 shell whoami 为例 0x01 Controller->TeamServer 当在 Console 中输入命令回车后,会进入 Beaco
CobaltStrike逆向学习系列(6):Beacon sleep_mask 分析
无心的博客
01-14 721
这是[信安成长计划]的第 6 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 C2Profile 分析 0x02 set userwx “true” 0x03 set userwx “false” CobaltStrike 提供了一个内存混淆功能,它会在 Sleep 的时候将自身混淆从而避免一定的检测 0x01 C2Profile 分析 因为 sleep_mask 是从 C2Profile 中设置的,所以就需要先搞清楚 TeamServer 是如何解析的 很明显它还跟其他的设置项有关,
CobaltStrike逆向学习系列-主线篇
02-22
11. **自实现Beacon检测工具** - **检测原理**:解释如何设计检测Beacon的工具。 - **检测方案**:提出具体的检测策略和方法。 - **问题与解决方案**:识别可能遇到的挑战,并提出解决办法。 - **示例代码**:...
CobaltStrike逆向学习系列(2):Stageless Beacon 生成流程分析
SecSource_Stars的博客
01-10 686
这是[信安成长计划]的第 2 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 Patch Beacon 0x02 Patch Loader 0x03 文件对比 0x04 流程图 CobaltStrikeBeacon 生成分为两种,Stage Beacon 和 Stageless Beacon,这次主要来说明的是无阶段的 Stageless Beacon,最终文件比较大,不用从网络中来拉取。 本文的分析流程使用的 payload 是 windows/beacon_http/rever
CobaltStrike(beacon.dll)样本.zip
10-18
"beacon.dll"是CobaltStrikeBeacon模块,这是一个动态链接库文件,通常在目标系统上注入到其他进程中以实现持久化和隐蔽性。Beacon是一个在受感染系统上运行的代理程序,负责与CobaltStrike的命令与控制(C2)...
Malleable-C2-Profiles:钴打击-可锻C2型材。 使用Cobalt Strike https在不同项目中使用的配置文件的集合
05-05
通过分析和学习这些配置,可以了解如何在实际操作中实现更有效的隐蔽性和反检测能力。 **文件列表分析** 虽然未提供具体的文件内容,但"**Malleable-C2-Profiles-master**"这个文件名暗示这是一个包含多种...
红队专题-Cobalt strike4.5二次开发
aming小老弟
10-09 2076
一起学习 代码审计、安全开发、web攻防、逆向等。
CobaltStrikeDetected:40行代码检测到大部分CobaltStrike的shellcode
08-04
介绍 无文件落地的木马主要是一段可以自定位的shellcode组成,特点是没有文件,可以附加到任何进程里面执行。一旦特征码被捕获甚至是只需要xor一次就能改变特征码.由于传统安全软件是基于文件检测的,对目前越来越多的无文件落地木马检查效果差. 基于内存行为特征的检测方式,可以通过检测执行代码是否在正常文件镜像区段内去识别是否是无文件木马.由于cobaltstrike等无文件木马区段所在的是private内存,所以在执行loadimage回调的时候可以通过堆栈回溯快速确认是否是无文件木马 检测只需要40行代码: 在loadimagecallback上做堆栈回溯 发现是private区域的内存并且是excute权限的code在加载dll,极有可能,非常有可能是无文件木马或者是shellcode在运行 核心代码如下: void LoadImageNotify(PUNICODE_STRING pF
Android设备配置工具-iBeaconTool
08-14
Android设备配置工具-iBeaconTool 蓝牙 微信周边摇一摇
Cobalt Strike中DNS隐蔽隧道的利用,以及使用DLP进行检测.pdf
03-02
现在,无论是开源或者商业套装渗透软件的应用已经得到普及。虽然目前各大安全技术网站有很多入门文章,但来源多为境外翻译加入译者想象,且有不少内容错误凸显译者缺乏实际操作经验。同时,如何利用市面现有产品实施检测的指导文章也凤毛麟角。因此,笔者计划编写系列教程,介绍演示常见外部入侵和内部威胁的手段、战术、以及工具,并给出使用现有成熟产品进行检测和响应的实际方法。
CobaltStrike逆向学习系列(9):Bypass BeaconEye - Beacon 堆混淆
SecSource_Stars的博客
01-21 669
这是[信安成长计划]的第 9 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 CS4.5 Sleep_Mask 0x02 HeapEncrypt 0x03 效果 0x04 参考文章 在之前的文章《Bypass BeaconEye》中提过了两个 Bypass BeaconEye 的方法,都是通过打乱 C2Profile 结构来做的,还有另外一种方式就是在 Sleep 的时候加密堆内存,在 CS4.5 中也对 Sleep_Mask 进行了更新 0x01 CS4.5 Sleep_Mask 根据
CobaltStrike逆向学习系列(5):Bypass BeaconEye
无心的博客
01-14 355
这是[信安成长计划]的第 5 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 BeaconEye 检测原理 0x02 Bypass 1 0x03 Bypass 2 0x04 效果图 在之前的三篇文章《Stageless Beacon 生成流程分析》《Beacon C2Profile 解析》《Beacon 上线协议分析》中,已经穿插着将 C2Profile 的全部内容介绍完了,也把 Bypass 所需要的一些内容也都穿插着提到过了,接下来就该说如何对其进行 Bypass 0x01 Beac
CobaltStrike逆向学习系列(3):Beacon C2Profile 解析
无心的博客
01-14 293
这是[信安成长计划]的第 3 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 Controller 端分析 0x02 Beacon 端分析 0x03 展示图 在上一篇文章中完成了 Stageless Beacon 生成的分析,接下来就是对 Beacon 的分析了,在分析上线之前先将 C2Profile 的解析理清楚,因为 Beacon 中大量的内容都是由 C2Profile 决定的。 而且,目前 C2Profile 也是被作为检测 CobaltStrike 的一种手段,只有在理解了它的实
CobaltStrike逆向分析深度探索
"CobaltStrike逆向学习系列是一份深度探讨网络安全领域的参考资料,主要针对CobaltStrike逆向工程、渗透测试和二次开发。文章涵盖了CobaltStrike的各种核心组件和流程,如登陆通信、Stageless Beacon生成、Beacon ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值