简单使用工具提取cobalt strike马

最新推荐文章于 2024-05-12 09:30:20 发布
最新推荐文章于 2024-05-12 09:30:20 发布
阅读量1.4k 收藏 2
点赞数 1
分类专栏: cobalt strike Red Team 文章标签: cobalt strike
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youyou519/article/details/121013185
版权

针对hw,很多红队开发人员,都是简单加工了下CS马,套了层外壳,针对于这类样本的分析提取CS,可以使用工具快速分析提取CS的beacon,并不要什么太多操作。
首先拿到样本,先常规提取恶意PE文件。使用pe-sieve工具。

https://github.com/hasherezade/pe-sieve

比如提取后这种未命名的就是马所在。

如果套了几层,可以关键API下断,手动dump出内存,不过国内hw那些样本大部分都是简单构造。
再判断恶意代码是否为CobaltStrike,比如实例这里,IDA看到异或操作。

提取数据

解码

发现是CS配置,再使用CobaltStrikeParser解析出beacon就行了,也可也无脑先使用下,如果报错再换其他思路,不过hw样本用CS马是绝大多数。
工具链接如下:

https://github.com/Sentinel-One/CobaltStrikeParser

kernweak
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
应急响应.windows
newlife1441的博客
08-19 1606
应急响应是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全。主要是为了人们对网络安全有所认识、有所准备,以便应对突发的网络安全事件windowsWeb 入侵:网页挂、主页篡改、Webshell系统入侵:病毒木、勒索软件、远控后门网络攻击:DDOS 攻击、DNS 劫持、ARP 欺骗。
逆向CS生成的exe
weixin_43781139的博客
03-01 2382
前言 Cobalt Strike(以下简称CS)是红队在渗透攻击中的一款神器,使用稳定,功能全面。本文是对CS生成的exe文件进行分析,看看CS生成的木有什么高明之处。 准备工作 工具准备:Cobalt Strike ida x32dbg exeinfope CS能生成的木有很多种,如下图所示: 这里我不一一介绍,有兴趣的同学自行去研究。我们这里先选择Windows Executable 注: Windows Executable 生成可执行的分段payloa...
内网渗透-1
weixin_48776804的博客
05-30 565
获取win7的webshell
标题:【揭秘系统安全】PE-sieve:你的反恶意软件扫描利器
最新发布
gitblog_00026的博客
05-12 339
标题:【揭秘系统安全】PE-sieve:你的反恶意软件扫描利器 项目地址:https://gitcode.com/hasherezade/pe-sieve 在数字化时代,保护你的系统免受恶意软件的侵扰至关重要。现在,我们向你推荐一款强大的开源工具——PE-sieve,它是一个轻量级的引擎,能够有效地检测并处理系统中的恶意进程。 1、项目介绍 PE-sieve是一款专为识别和对抗恶意软件设计的工...
CobaltStrike魔改与增强
RedCode Team
12-01 5079
CobaltStrike魔改与增强写这篇文档的目的在于记录CS客户端和服务器的魔改过程
通过CrossC2上线CS踩坑记(Linux)
ATpiu的博客
08-07 4865
Linux下,通过CrossC2上线CS,自定义profile
一次偶然的CobaltStrike钓鱼邮件分析
博客地址 www.sec0nd.top
08-02 2118
前几天看到一篇关于近期钓鱼邮件的情况统计的文章,挺有意思然后在逛某威胁感知社区的时候,看到了一个恶意url,也挺有意思子域名伪装成某安全公司hhh,然后看了下与之有关的通信样本好家伙全是钓鱼文件,免杀做的还不错,最近几天不知道为什么异常频繁于是就点进去几个看了看,分析分析这种是怎么实现cs上线的(纯小白,勿喷) 下面所有分析均为在线沙箱进行测试的结果。......
渗透测试工具-Cobalt Strike
03-21
Cobalt Strike(简称CS)是一款广泛应用于网络安全领域的高级渗透测试工具,主要用于模拟攻击者的行为,帮助安全专业人员检测和评估组织的防御能力。这款工具以其强大的功能、易用性以及高度的定制化而备受推崇。 *...
CobaltStrike4.4.zip
09-15
Cobalt Strike是一款备受瞩目的渗透测试工具,主要用于模拟高级威胁行为,帮助网络安全专业人士进行红队操作和评估网络防御的有效性。在这个"CobaltStrike4.4.zip"压缩包中,包含了多个与Cobalt Strike 4.4版本相关...
cobalt strike 4.7
06-07
Cobalt Strike 4.7 是一款广泛应用在网络安全领域的高级渗透测试工具,它主要用于模拟攻击者行为,评估组织的安全防御能力。C2(Command and Control)工具是指远程控制服务器,Cobalt Strike 在此领域中扮演了核心...
cobaltstrike中文版.zip
05-17
Cobalt Strike是一款高级的渗透测试工具,广泛用于模拟攻击和红队操作,以评估组织的安全防御能力。它由Mandiant公司开发,主要用于企业安全团队进行威胁模拟、漏洞利用和持续性威胁(APT)模拟。这个“cobaltstrike...
CobaltStrikeParser
03-19
CobaltStrikeParser 适用于CobaltStrike Beacon配置的Python解析器 背景 将parse_beacon_config.py用于无阶段信标或内存转储。 许多无阶段信标是PE,信标代码本身存储在.data节中,并用4字节密钥进行异或。 parse_encrypted_beacon_config.py尝试查找xor密钥和数据,解密数据并从中解析配置。当parse_beacon_config.py无法正常工作时,可能应该使用它。 用法 usage: parse_beacon_config.py [-h] [--json] [--quiet] [--version VERSION] path Parses CobaltStrike Beacon's configuration from PE or memory dump. positional argument
Cobalt Strike 4.5
09-21
Cobalt Strike是一款超级好用的渗透测试工具,拥有多种协议主机上线方式,集成了提权,凭据导出,端口转发,socket代理,office攻击,文件捆绑,钓鱼等多种功能。同时,Cobalt Strike还可以调用Mimikatz等其他知名...
CS4.4远控工具CobaltStrike4.4
08-23
CS4.4远控工具CobaltStrike4.4,仅供测试学习使用,请不要从事非法活动。
CS4.9.1.1-CobaltStrike4.9.1.1版
01-18
Cobalt Strike是一款基于java的渗透测试神器,常被业界人称为CS神器。自3.0以后已经不在使用Metasploit框架而作为一个独立的平台使用,分为客户端与服务端,服务端是一个,客户端可以有多个,非常适合团队协同作战,...
Cobalt-Strike-4.7
12-27
Cobalt Strike 是一款使用java编写,C / S架构的商业渗透软件,适合多人进行团队协作,可模拟APT做模拟对抗,进行内网渗透,是一个为对手模拟和红队行动而设计的平台,主要用于执行有目标的攻击和模拟高级威胁者的后...
Cobalt Strike 使用指南(资源整合笔记)
天在等我,菜鸟想飞
12-30 7173
0x00 写在前面的话 Cobalt Strike自出世以来,一直在红队常用的工具行列。因其优良的团队协作性,被冠以多人运动的必备利器。 本文将网络上各路神仙的经验分享以渗透流程为依据进行了一次整合,旨在提供工具的学习使用流程。 1、工具介绍 CS是什么? Cobalt Strike是一款渗透测试神器,常被业界人称为CS神器。Cobalt Strike已经不再使用MSF而是作为单独的平台使用,它分为客户端与服务端,服务端是一个,客户端可以有多个,可被团队进行分布式协团操作。 Cobalt Strike集成
MemoryEvasion
Mccc_li的博客
10-27 1369
CobaltStrike自3.1.2就引入了SleepMask套件,SleepMask套件可以在http/https或dns Beacon进入sleep的时候混淆Beacon和堆。但是泄露的CS SleepMask已经被分析烂了,于是就自己写了个在睡眠状态混淆代码的Loader。
CobaltStrike反制上线测试
qq_69775412的博客
10-05 2146
CobaltStrike反制上线测试
cobaltstrike查杀
04-26
CobaltStrike是一种常见的渗透测试工具,也被黑客用于进行网络攻击。查杀CobaltStrike需要采取以下步骤: 1. 实时监测:使用安全防护软件或网络安全设备,如防火墙、入侵检测系统(IDS)等,对网络流量进行实时...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值