Cobalt Strike:内存转储 - 第 6 部分

最新推荐文章于 2024-04-13 16:39:57 发布
最新推荐文章于 2024-04-13 16:39:57 发布
阅读量997 收藏
点赞数
分类专栏: cobalt Strike 安全 文章标签: 安全 web安全 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42892543/article/details/124610148
版权

博文系列:Cobalt Strike:解密流量

  • Cobalt Strike:使用已知私钥解密流量 - 第 1 部分
  • Cobalt Strike:使用已知私钥解密流量 - 第 2 部分
  • Cobalt Strike:使用进程内存解密流量 - 第 3 部分
  • Cobalt Strike:解密混淆流量 - 第 4 部分
  • Cobalt Strike:解密 DNS 流量——第 5 部分
  • Cobalt Strike:内存转储 - 第 6 部分(当前)
  • Cobalt Strike:概述 – 第 7 部分

这是创建和分析 Cobalt Strike 信标的内存转储的不同方法的概述。

本系列博文介绍了解密 Cobalt Strike 流量的不同方法。在 本系列的第 1 部分中,我们揭示了在恶意 Cobalt Strike 包中发现的私有加密密钥。在 第 2 部分中,我们从 RSA 私钥开始解密 Cobalt Strike 流量。在 第 3 部分中,如果您不知道私有 RSA 密钥但确实有进程内存转储,我们将解释如何解密 Cobalt Strike 流量。在 第 4 部分中,我们处理使用可塑性 C2 数据转换混淆的流量。在 第 5 部分中,我们处理 Cobalt Strike DNS 流量。

对于之前博客文章中讨论的一些 Cobalt Strike 分析方法,进行内存转储很有用:系统 RAM 的内存转储,或托管 Cobalt Strike 信标的进程的进程内存转储。

我们概述了制作和/或使用内存转储的不同方法。

完整的系统内存转储

有几种方法可以获得 Windows 机器的完整系统内存转储。由于这些方法大多涉及商业软件,我们不会详细介绍获取完整内存转储的细节。

当您有一个未压缩的完整系统内存转储时,首先要检查的是内存中是否存在 Cobalt Strike 信标。这可以使用工具1768.py来完成,该工具用于提取和分析 Cobalt Strike 信标的配置。确保使用 64 位版本的 Python,因为未压缩的完整内存转储很大。

发出以下命令:

1768.py -r 内存转储

例子:
请添加图片描述

图 1:在完整的系统内存转储上使用 1768.py
在这个例子中,我们很幸运:1768.py 不仅检测到信标配置的存在,而且该配置也包含在单个内存页面中。这就是我们获得完整配置的原因。通常,配置会重叠内存页面,然后您会得到部分结果,有时甚至是 Python 错误。但是我们从这个命令中得到的最重要的信息是,系统上运行了一个信标,我们对其进行了完整的内存转储。

假设我们的命令产生了部分结果。然后,为了获得完整的配置,我们必须做的是使用Volatility生成托管信标的进程的进程内存转储。由于我们不知道哪个进程托管信标,我们将为所有进程创建进程内存转储。

我们使用以下命令执行此操作:

vol.exe -f memorydump -o procdumps windows.memmap.Memmap -dump

例子:
请添加图片描述

图 2:使用 Volatility 提取进程内存转储 - 命令开始
请添加图片描述

图 3:使用 Volatility 提取进程内存转储 - 命令结束

procdumps 是将写入所有进程内存转储的文件夹。

此命令需要一些时间才能完成,具体取决于内存转储的大小和进程数。

命令完成后,我们再次使用工具 1768.py 来分析每个进程转储:
请添加图片描述

图 4:使用 1768.py 分析所有提取的进程内存转储 - 命令开始
请添加图片描述

图 4:使用 1768.py 分析所有提取的进程内存转储 - 检测进程 ID 2760
我们看到文件 pid.2760.dmp 包含一个信标配置:这意味着进程 ID 为 2760 的进程托管一个信标。如果我们需要提取更多信息,例如加密密钥,我们可以使用此进程内存转储(请参阅本系列的博客文章 3 )。

进程内存转储

存在不同的方法来获取 Windows 机器上的进程内存转储。我们将解释几种不需要商业软件的方法。

任务管理器

可以使用内置的 Windows 任务管理器进行完整的进程内存转储。
这样的进程内存转储包含所选进程的所有进程内存。

要使用此方法,您必须知道哪个进程正在托管信标。然后在任务管理器中选择这个进程,右键,选择“创建转储文件”:
请添加图片描述

图 6:任务管理器:选择托管信标的进程
请添加图片描述

图 7:创建一个完整的进程内存转储

进程内存转储将被写入临时文件夹:
请添加图片描述

图 8:进程内存转储完成后的任务管理器对话框
图 9:包含转储文件 (.DMP) 的临时文件夹

Sysinternals 的 Process Explorer

Process Explorer可以进行进程内存转储,就像任务管理器一样。选择托管信标的进程,右键单击并选择“创建转储/创建完整转储”。
请添加图片描述

图 10:使用 Process Explorer 创建完整的进程内存转储
不要选择“Create Minidump”,因为使用此选项创建的进程内存转储不包含进程内存。

使用 Process Explorer,您可以选择保存转储的位置:
请添加图片描述

图 12:使用 Process Explorer,您可以选择保存转储文件的位置

Sysinternals 的 ProcDump

ProcDump是一个从命令行创建进程内存转储的工具。您为它提供一个进程名称或进程 ID,它会创建一个转储。确保使用选项 -ma 创建完整的进程内存转储,否则转储将不包含进程内存。
请添加图片描述

图 12:使用 procdump 创建一个完整的进程内存转储

使用 ProcDump,将转储写入当前目录。

使用进程内存转储

与完整系统内存转储一样,工具1768.py可用于分析进程内存转储并提取信标配置。
如本系列的第 3 部分所述,工具cs-extract-key.py可用于从进程内存转储中提取密钥。
如果密钥被混淆,工具cs-analyze-processdump.py可用于尝试破解混淆,如本系列的第 4 部分所述。

结论

内存转储可用于检测和分析信标。
我们开发了从内存转储中提取信标配置和密钥的工具。

爱你'非我莫属。
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
android-dump-memory:Android内存转储工具
05-17
自述文件 这是一个从android进程中转储内存内容的简单工具。 它需要植根设备。 该工具基于。 我添加了几个功能,例如“转储”,“搜索”,“显示”。 搜索对于搜索内存中的敏感信息(密码等)很有用。 包括示例二进制文件。 用法 android_dump_memory <dump> <pid> <start> <total> [search string] dump:将内存内容转储到文件中。 文件名将采用./dump_startaddress_endaddress格式。 show:在控制台中打印内存内容。 search:搜索ASCII / UNICODE字符串。 start_address,total_bytes应该以“ 0x”开头,因为sscanf希望它存在。
GECC:Cobalt Strike-Go External C2 Client
03-15
GECC 进行外部C2客户端实施以打击钴。 使用Golang实现的外部C2客户端,非常简单的反向TCP直接连接,替代学习研究。测试样本Main函数中的8.8.8.8:2222修改成外部C2服务端的信息。 非常感谢以下优秀的项目作为本项目...
内存转储
西京刀客
11-24 2390
内存转储 目录 什么是小内存转储如何设置解决蓝屏故障 什么是小内存转储   内存转储是用于系统崩溃时,将内存中的数据转储保存在转储文件中,供给有关人员进行排错分析使用,(如果是个人用户,选择 “无”对普通用户来说,一点用处也没有,甚至会导致泄密)。小内存转储,就是只保存内存前64KB的基本空间数据的内存转储文件。这样可以节省磁盘空间,也方便文件的查看。 如何设置
应急响应-CS流量分析&心跳指令&特征提取
最新发布
siu~
04-13 918
战后-流量分析-CS
Linux手动内存转储,转:八大Linux/Unix服务器内存转储工具
weixin_42531779的博客
05-01 245
话说工欲善其事必先利其器,当你对Linux/Unix服务器内存进行转储时,手边需要有得力的工具。国外媒体盘点了八款Linux/Unix服务器内存转储工具。一起来看看。LiME(Linux Memory Extractor)LiME(之前叫DMD)是一种可加载内核模块(Loadable Kernel Module,LKM),可获得Linux和Linux设备中的易失性存储器。该工具支持从设备中的文件系...
Dump文件有三种:完整内存转储,内核内存转储,小内存转储。System Properties中的高级选项中可以看到这些设置。
kuangben2000的博客
04-09 3528
Dump文件有三种:完整内存转储,内核内存转储,小内存转储。System Properties中的高级选项中可以看到这些设置。 Windbg内核调试之四:Dump文件分析-爱码网 (likecs.com) Dump 文件分析很大程度上就是分析蓝屏产生的原因。这种系统级的错误算是Windows提示错误中比较严重的一种(更严重的还有启动黑屏等硬件或软件兼容性错误等等)。说它是比较严重,是因为毕竟Windows还提供了dump文件给用户分析,至少能比较容易的找到错误的原因。一般蓝屏要么是内核程序中的异常或
内存转储分析_支持机构,使用Java的内存转储诊断(MDD4J)分析内存管理问题
cusi77914的博客
06-24 266
存档日期:2019年5月13日 | 首次出版:2009年9月30日 Java™内存转储诊断(MDD4J)工具可帮助您诊断在IBM Java虚拟机(JVM)中运行的应用程序中的内存泄漏和其他过多的内存消耗问题。 本文向您介绍了MDD4J,并向您展示了如何使用其复杂的分析引擎和用户界面来查看Java堆,以便您可以查看哪些对象消耗了最多的内存。 该内容是《 IBM WebSphere开发者技术期...
Awesome-CobaltStrikecobaltstrike的相关资源汇总
02-06
Awesome-CobaltStrikecobaltstrike的相关资源汇总
cobaltstrike:cobaltstrike插件
05-06
cobaltstrike 现在完成的功能 1.定位域管理员(PsLoggedo,PVEFindADUser,netview) 2.信息收集(采用ADfind) 3.权限维持(增加了万能密码,以及白银票据) 4.内网扫描(nbtscan(linux/windows通用)) 5.dump数据库hash(支持...
Cobalt-Strike-4.7
12-27
Cobalt Strike 是一款使用java编写,C / S架构的商业渗透软件,适合多人进行团队协作,可模拟APT做模拟对抗,进行内网渗透,是一个为对手模拟和红队行动而设计的平台,主要用于执行有目标的攻击和模拟高级威胁者的后...
Cobalt-Strike-Aggressor-Scripts:Cobalt Strike Aggressor 插件包
05-02
Cobalt-Strike-Aggressor-Scripts 长时间未更新,说声抱歉 本脚本借鉴了许多大佬的思路以及源码,由于较为仓促未能贴出每个的url,在此表示感谢! Usage: Update 20200422 加入Info-Collect信息收集模块 加入chrome...
kcore_dump:从用户空间创建物理内存转储的简单工具
05-30
一个简单的linux内存获取工具 kcore_dump 是一个简单的工具,用于从用户空间创建正在运行的 x86-64 Linux 系统的物理内存转储。 它通过从 /proc/kcore 中提取相关内存范围来实现。 转储以写入磁盘。 有关详细信息,请参阅。 用法 建造 git clone https://github.com/schlafwandler/kcore_dump.git cd kcore_dump/ gcc -o kcore_dump kcore_dump.c 用 sudo ./kcore_dump <outfile> 项目状态 编写此工具是为了演示从 /proc/kcore 提取内存转储的过程。 它仅经过了最少的测试(如:在我的机器上工作),因此不应被视为即用型取证工具。 让我重复一遍: 此工具尚未进行任何测试! 需要您自担风险使用它!
八大 Linux/Unix 服务器内存转储工具
weixin_34128237的博客
05-02 258
  话说工欲善其事必先利其器,当你对Linux/Unix服务器内存进行转储时,手边需要有得力的工具。国外媒体盘点了八款Linux/Unix服务器内存监控工具。一起来看看。 LiME(Linux Memory Extractor)   LiME(之前叫DMD)是一种可加载内核模块(Loadable Kernel Module,LKM),可获得Linux和L...
八大Linux/Unix服务器内存转储工具
wangxiaofei2006的专栏
12-06 1674
话说工欲善其事必先利其器,当你对Linux/Unix服务器内存进行转储时,手边需要有得力的工具。国外媒体盘点了八款Linux/Unix服务器内存转储工具。一起来看看。 LiME(Linux Memory Extractor) LiME(之前叫DMD)是一种可加载内核模块(Loadable Kernel Module,LKM),可获得Linux和Linux设备中的易失性存储器。该工具支持
内存搜索工具 linux,八大Linux/Unix服务器内存转储工具
weixin_29009971的博客
05-01 351
话说工欲善其事必先利其器,当你对Linux/Unix服务器内存进行转储时,手边需要有得力的工具。国外媒体盘点了八款Linux/Unix服务器内存转储工具。一起来看看。LiME(Linux Memory Extractor)LiME(之前叫DMD)是一种可加载内核模块(Loadable Kernel Module,LKM),可获得Linux和Linux设备中的易失性存储器。该工具支持从设备中的文件系...
linux设置内存转储,八大Linux/Unix服务器内存转储工具
weixin_32573931的博客
05-06 369
话说工欲善其事必先利其器,当你对Linux/Unix服务器内存进行转储时,手边需要有得力的工具。国外媒体盘点了八款Linux/Unix服务器内存转储工具。一起来看看。LiME(Linux Memory Extractor)LiME(之前叫DMD)是一种可加载内核模块(Loadable Kernel Module,LKM),可获得Linux和Linux设备中的易失性存储器。该工具支持从设备中的文件系...
内存转储
leo的博客
02-16 1289
内存转储 标签(空格分隔): 内核调试 https://www.ibm.com/developerworks/cn/linux/l-cn-dumpanalyse/index.html crash的使用
ProcDump
gx123456sh的博客
12-25 400
ProcDump是一个控制台工具,可用于监视进程,并在满足所指定的相关条件,或性能计数器超出阈值时为进程创建用户模式的转储文件。ProcDump可在某一个条件满足时创建一个转储,或在每次出现问题后持续创建转储。ProcDump也可立即创建转储,或定期生成一系列转储。 ...
cobaltstrike插件:lstr
09-10
CobaltStrike插件:lstr是CobaltStrike的一个功能强大的插件,用于实现对目标环境的快速权限升级和提升攻击效果。该插件主要用于横向移动,搜集横向路径信息和提供快速权限升级功能。 通过使用lstr插件,攻击者可以通过高级权力滥用攻击方法,例如Pass-the-Ticket(刷新在域控制器上的已经通过验证的Ticket的机制)来提升攻击效果。这样,攻击者可以获取更高的访问权限,并更加深入地渗透目标系统。 此外,CobaltStrike插件:lstr还可以生成和管理攻击者所需的凭证。攻击者可以使用这些凭证进行远程登录和权限提升。插件还提供了实施红队渗透测试所需的各种功能,例如创建带有System权限的服务、使用针对Windows凭据的Hashcat模块等。 总之,CobaltStrike插件:lstr是一个强大的插件,为渗透测试和红队行动提供了一系列功能。它可以帮助攻击者更好地理解目标环境,并利用横向移动和权限提升的技术,实施高级攻击和渗透测试。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值