逆向CS生成的exe马

最新推荐文章于 2024-08-06 10:39:15 发布
最新推荐文章于 2024-08-06 10:39:15 发布
阅读量2.5k 收藏 8
点赞数 1
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43781139/article/details/114263915
版权

前言

Cobalt Strike(以下简称CS)是红队在渗透攻击中的一款神器,使用稳定,功能全面。本文是对CS生成的exe文件进行分析,看看CS生成的木马有什么高明之处。

 

准备工作

工具准备:Cobalt Strike

ida

x32dbg

exeinfope

 

CS能生成的木马有很多种,如下图所示:

这里我不一一介绍,有兴趣的同学自行去研究。我们这里先选择Windows Executable

注:

Windows Executable     生成可执行的分段payload

Windows Executable(S) 生成可执行的不分段Payload

生成之后我们会得到一个exe文件,这是我们今天进行逆向的主角。

 

逆向分析

CS生成的exe其实是一个loder,也就是加载器,加载器加载里面的shellcode来运行主要功能,所以我们进行逆向分析的时候也分成两个步骤:外层loder分析和内层shellcode分析。

外层loder分析

我们先用exeinfope对文件进行简单了解

无壳。接下来扔进IDA进行静态分析。

main函数这里调用了两个函数之后调用了一个Sleep,跟进27F0发现没什么东西,我们直接看1840

pipe是关键字,调用sprintf函数,拼接一个管道名。接下来创建了一个线程,进入创建的线程1713里看看

带着两个参数进入1648,接着看

这就是一个标准的建立管道的一个过程,重点我们关注一下WriteFile那里,向管道写入,写的就是我们的传参,这应该就是加密之前的shellcode。

接下来返回到1840

返回时进入了17E2

先分配一个空间,然后进入1732

标准的从管道读,读的东西就是我们刚才写进的东西。再看158E

先开辟空间,然后将我们刚才读出来的东西与4个循环数进行异或(经过多次调试,发现这四个数每次都是不一样的),最后得到一串解密后的数据,我们有理由猜测,这解密后的数据就应该是执行的shellcode,最后开启线程执行shellcode。当然,光猜是不行的,我们要进行动态调试到内存里去抓抓看。接下来打开x32dbg进行动态调试。

我们跟进到40158E里

 

异或之后的数据存储到了ds:[edi+ecx],我们到内存里跟一下

 

我们可以这是一个非常典型的PE文件,也就是外层加载器加载了一个dll文件,这个dll文件应该是CS马实现功能的主要地方。

至此,我们外层的加载器分析告一段落。

 

内层shellcode分析

进入到StartAddress函数里,有一个jmp eax,会直接跳到我们刚才读出来的DLL,它里面的函数是这样的

第一个call不用太看,call ebx大概看了一下,开辟了一段空间,把这一段的数据写进去,然后下一个call eax转到另一个地方开始执行,这个地方就是我们dll的入口点了。

一点点往里跟踪,看看我们能不能找到有什么有用的信息

网络请求行为:

 

 

设置休眠:

 

这里跟了一下,发现有个sleep函数,应该是与默认心跳有关那里。

 

操作相关:

注意这里,我们有一个InternetReadFile,把返回值读到eax里,这个地方就是判断你输入了什么指令,对应这几种情况

程序的大体逻辑就是这样。

至此,我们已经对CS马的运行逻辑有了基本的了解。

 

不同生成方法对比

当然,我们只是分析了一种的情况,分段的马外层是一样的,但内层有区别,我们简单看一下,

首先看一下解密后的shellcode

很明显和之前不一样了

循环的在获取API

发起请求,用virtualAlloc开辟一段空间,然后不断的用InternetReadfile读取文件,最后得到的dll就和上面的差不多了。

 

 

经过分析我们发现,CS的马主要的一个加载方式是用加载器解密shellcode,然后运行dll,所有主要功能都在dll里面,理论上加载器我们可以随意更换的。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

孤客浪子
关注
[系统安全] 三十.CS逆向分析 (1)你的游戏子弹用完了吗?Cheat Engine工具入门普及
杨秀璋的专栏
04-19 8535
前文分享了外部威胁防护和勒索病毒对抗,带领大家看看知名安全厂商的威胁防护措施,包括网络安全面临的挑战、如何有效的应对挑战、深信服安全建设之道等。这篇文章将回到逆向知识,利用Cheat Engine工具逆向分析游戏CS1.6,并实现无限子弹功能。基础性文章,希望对您有所帮助,如果存在错误、侵权或不足之处,还望告知,加油!
Cobalt Strike (CS) 逆向初探
悦分享
08-03 726
当进入第三段文件执行的时候,就算是真正开始了远控文件的旅行,不过那是另一段旅程了,就不在这篇文章里写了(必经本篇篇幅已经好多)。但是,还是还是简单的把那个文件的一些分析写在下面。考虑到已经进入一个远控软件的核心功能部分,按照我的想法,为了方便,还是把内存dump下来,通过静态和动态结合的方式来。因此,祭出Scylla。首先运行到新内存区域入口处:然后点转储内存:选择所处模块的区域,转储PE,因为该修复的都修复了,所以直接转pe文件,也不同修复转储了。(后面的.mem文件要不要都无所谓了)。.........
逆向CS1.6笔记(简单汇编)
u012765410的博客
02-16 1477
1 1.CE搜索30子弹。 用于将一个数据从源地址传送到目标地址 2.开几枪再次搜索 3.筛选出子弹的动态地址,锁定该地址数值,即实现无限子弹(这是个动态地址,游戏重新加载,该地址就失效了,如果不想每次都找就要找到真正的人物基址和偏移) 用于将一个数据从源地址传送到目标地址 4.查看谁访问了该地址 5.开几枪,mov指令是用于将一个数据从源地址传送到目标地址,也就是把EAX 里面的数值赋值给E...
记一次python逆向:反编译pyinstaller打包生成exe
最新发布
qq_42944740的博客
08-06 1694
首先声明一点,逆向这块我是纯小白,我是通过看各种博客,反复折腾才搞出来的,写的有错误的地方,还请各位大佬多多指正。
一个QQ木逆向分析浅谈(附带源码)
weixin_30247781的博客
08-04 411
程序流程:首先注册自己程序的窗口以及类等一系列窗口操作,安装了一个定时器,间隔为100ms,功能搜索QQ的类名,如果找到就利用FindWindow("5B3838F5-0C81-46D9-A4C0-6EA28CA3E942", NULL)找到当前运行的QQ号,之后隐藏QQ主界面,弹出自己的界面,利用socket发送输入的密码到指定的IP、端口,达到窃取用户的QQ密码。程序很简单不过,不过代码确实有...
怎么生成_免杀系列CSshellcode分离免杀上线
weixin_39970668的博客
12-20 3411
10月13日CSshellcode分离免杀上线最近在学习CS怎么去免杀,今天来分享一下吧,反正有手就行呗0x00Article directory [目录结构]0x01 环境介绍0x02 插件部署0x03 改造流程0x04 测试效果0x05总结0x01环境介绍本次免杀所使用的是shellcode分离免杀技术CS版本:4.0语言:Golang插件:项目地址:http://gith...
CS -exe分析
weixin_45880501的博客
04-05 2991
CS -exe分析 Cobalt Strike是渗透测试工具,可以通过exe实现远程控制。 一:生成exe Windows Executable 生成可执行exe;payload分段 Windows Executable(S) 生成无状态的可执行exe,payload不分段 分析Windows Executable 生成的artifact.exe 查壳:无壳 二:具体分析 401840关键函数:获取系统时间戳,通过sprintf拼接管道名,创建线程,写加密数据到创建的管道内,最后解密执行
CobaltStrike逆向学习系列(2):Stageless Beacon 生成流程分析
SecSource_Stars的博客
01-10 684
这是[信安成长计划]的第 2 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 Patch Beacon 0x02 Patch Loader 0x03 文件对比 0x04 流程图 CobaltStrike 的 Beacon 生成分为两种,Stage Beacon 和 Stageless Beacon,这次主要来说明的是无阶段的 Stageless Beacon,最终文件比较大,不用从网络中来拉取。 本文的分析流程使用的 payload 是 windows/beacon_http/rever
mybatis plus逆向生成代码以及基本功能
qq_39131779的博客
04-09 4104
文章目录序依赖配置核心依赖代码生成器相关依赖AutoGeneratorfreemarker模版引擎lombok代码生成代码生成器配置扫描mapper的接口扫描mapper的xml文件mapper CRUD接口service CRUD接口条件构造器 序 首先附上mybatis-plus官方文档 本篇参考官方文档记录spring mvc项目接入mybatis plus的全流程及一些问题的解决方案,建议...
微博完整逆向分析和数据抓取(最详细逆向实战教程,小白也能看懂)
小鸿的博客
05-05 603
逆向是爬虫工程师进阶必备技能,当我们遇到一个问题时可能会有多种解决途径,而如何做出最高效的抉择又需要经验的积累。本期文章将以抓取 微博 某个用户的推文数据为例,用实战的方式,带你详细地逆向分析微博 Cookie 的生成逻辑
CS系统加解密_文件口令加密_cs下加密流程_
09-30
综上所述,"CS系统加解密_文件口令加密_cs下加密流程_"涉及了C#环境下的文件加密与解密技术,包括选择合适的加密算法、生成和管理密钥、实施加密解密流程,以及密码策略的制定。同时,还提及了jd-gui工具在逆向工程...
cs搭建和木投放
weixin_48776804的博客
03-04 2447
cs搭建和木投放
内网渗透-1
weixin_48776804的博客
05-30 715
获取win7的webshell
简单使用工具提取cobalt strike
kernweak的博客
10-28 1622
针对hw,很多红队开发人员,都是简单加工了下CS,套了层外壳,针对于这类样本的分析提取CS,可以使用工具快速分析提取CS的beacon,并不要什么太多操作。 首先拿到样本,先常规提取恶意PE文件。使用pe-sieve工具。 https://github.com/hasherezade/pe-sieve 比如提取后这种未命名的就是所在。 如果套了几层,可以关键API下断,手动dump出内存,不过国内hw那些样本大部分都是简单构造。 再判断恶意代码是否为CobaltStrike,比如实例这里,IDA看到
应急响应.windows
newlife1441的博客
08-19 1632
应急响应是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全。主要是为了人们对网络安全有所认识、有所准备,以便应对突发的网络安全事件windowsWeb 入侵:网页挂、主页篡改、Webshell系统入侵:病毒木、勒索软件、远控后门网络攻击:DDOS 攻击、DNS 劫持、ARP 欺骗。
通过CrossC2上线CS踩坑记(Linux)
ATpiu的博客
08-07 4967
Linux下,通过CrossC2上线CS,自定义profile
免杀制作-教你如何一键制作window-CS上线免杀(新手推荐)
weixin_42109829的博客
10-20 7237
一、免杀思路 应该说每一类型的恶意软件所实施的反检测技术都是不一样的(恶意软件可以分为病毒、木、僵尸程序、流氓软件、勒索软件、广告程序等),虽然本文会对所有相关的反检测技术都进行介绍,但我们还是会将注意力放在stager阶段的meterpreter这种有效载荷的工具上,因为几乎所有的恶意软件的攻击命令的执行都必须依靠 meterpreter来实施攻击,例如: 提权、凭证窃取、进程迁移、注册表操作和分配更多的后续攻击, 另外,MetasploitFramework是一个缓冲区溢出测试使用的辅助工具,也可以说
[笔记]攻防工具分享之 CobaltStrike框架 《二》生成后门
二次元怪兽的博客
08-07 835
默认会有一个已经建立的好的监听配置我们可以修改它 或者添加一个新的监听配置。
针对macOS平台的远控木oRAT
小王的储物间
03-13 569
oRAT 综合利用开源代码与自研代码针对 macOS 用户发起攻击。攻击者显然对利用 Go开发复杂网络通信功能十分熟稔,但似乎对恶意软件规避检测方面不太擅长,例如使用标准加壳方式、代码未经过开发者签名等。其他攻击者在这方面给 oRAT已经做出了好榜样,可以预见在之后该攻击者还会从中学习、持续改进。1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)
Java 生成cs框架模板
05-25
Java 生成 cs 框架模板可以使用各种代码生成工具或者插件。其中,Mybatis-plus 是一个比较常用的 Java 框架,它提供了代码生成器,可以快速生成基于 Mybatis-plus 的 CRUD 代码,非常方便。 以下是使用 Mybatis-plus 代码生成生成 cs 框架模板的步骤: 1. 在项目中引入 Mybatis-plus 依赖,可以参考官方文档:https://baomidou.com/guide/ 2. 在项目中引入 Mybatis-plus 代码生成器依赖: ```xml <!-- Mybatis-plus 代码生成器 --> <dependency> <groupId>com.baomidou</groupId> <artifactId>mybatis-plus-generator</artifactId> <version>${mybatis-plus.version}</version> </dependency> ``` 3. 配置代码生成器,在项目中新建一个代码生成器的配置类,可以参考以下示例: ```java @Configuration public class MybatisPlusGeneratorConfig { /** * 生成代码 */ @Bean public void generateCode() { // 代码生成器 AutoGenerator mpg = new AutoGenerator(); // 全局配置 GlobalConfig gc = new GlobalConfig(); String projectPath = System.getProperty("user.dir"); gc.setOutputDir(projectPath + "/src/main/java"); gc.setAuthor("author"); gc.setOpen(false); gc.setFileOverride(true); gc.setServiceName("%sService"); gc.setServiceImplName("%sServiceImpl"); mpg.setGlobalConfig(gc); // 数据源配置 DataSourceConfig dsc = new DataSourceConfig(); dsc.setUrl("jdbc:mysql://localhost:3306/mybatis_plus?useUnicode=true&characterEncoding=UTF-8&serverTimezone=Asia/Shanghai"); // dsc.setSchemaName("public"); dsc.setDriverName("com.mysql.cj.jdbc.Driver"); dsc.setUsername("root"); dsc.setPassword("password"); mpg.setDataSource(dsc); // 包配置 PackageConfig pc = new PackageConfig(); pc.setParent("com.example"); pc.setEntity("entity"); pc.setMapper("mapper"); pc.setService("service"); pc.setServiceImpl("service.impl"); pc.setController("controller"); mpg.setPackageInfo(pc); // 策略配置 StrategyConfig strategy = new StrategyConfig(); strategy.setNaming(NamingStrategy.underline_to_camel); strategy.setColumnNaming(NamingStrategy.underline_to_camel); strategy.setEntityLombokModel(true); strategy.setRestControllerStyle(true); // 公共父类 // strategy.setSuperControllerClass("com.baomidou.mybatisplus.samples.generator.common.BaseController"); // 写于父类中的公共字段 // strategy.setSuperEntityColumns("id"); strategy.setInclude("user"); // 逆向工程要生成的表名,可以传入多个表名 strategy.setControllerMappingHyphenStyle(true); strategy.setTablePrefix(pc.getModuleName() + "_"); mpg.setStrategy(strategy); mpg.execute(); } } ``` 4. 运行代码生成器,即可在项目中生成对应的 cs 框架模板代码。 ```java @SpringBootApplication public class Application { public static void main(String[] args) { SpringApplication.run(Application.class, args); } } ``` 其中,`generateCode()` 方法会在项目启动时自动执行,生成代码。生成的代码会根据配置,生成在 `com.example` 包下的 `entity`, `mapper`, `service`, `service.impl`, `controller` 等目录下,其中 `entity` 目录下是实体类,`mapper` 目录下是 Mybatis-plus 的 mapper 接口和 xml 文件,`service` 和 `service.impl` 目录下是服务类和服务实现类,`controller` 目录下是控制器。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值