USDT官网

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

木马是黑客实行网络攻击的常用武器之一,有些木马可以通过免杀手艺的加持躲过杀毒软件的查杀。本文由锦行科技的平安研究团队提供(作者:t43M!ne),旨在通过剖析CS木马天生历程以及开发免杀工具,辅助人人更好地明白CS木马的Artifact天生机制。

什么是Cobaltstrike?

Cobaltstrike是用于红队行动、APT攻击模拟的软件,它具备很壮大的协同能力和难以置信的可扩展性。

无论是编写 shellcode,建立自定义的 C2二进制可执行文件,照样修改代码来隐藏恶意程序,它们都是红队一样平常事情的一部门,阅读和明白成熟的C2框架代码也是天经地义的事情。

CobaltStrike若何天生ShellCode?

CS是使用Swing举行UI开发的,代码中直接找对话框对应操作类。

aggressor\dialogs\WindowsExecutableDialog.class

可以看到很清晰的天生逻辑。

通过 DialogUtils.getStager() 获得天生的 stager 然后通过 saveFile 保留文件。

getStager() 方式调用了 aggressor\DataUtils.shellcode() ,而这里其实是Stagers的接口:

return Stagers.shellcode(s, "x86", b);

最终在 stagers\Stagers.shellcode() 凭据监听器类型,

实例化了继续自的 GenericStager 的 stagers\GenericHTTPStager 类,并由 generate() 天生 shellcode

shellcode天生时,读取了resources/httpstager.bin,并凭据监听器的host和port等值组合为Packer,最终替换到多个X、Y占位的bin文件中,最后返回bytes[] 类型的shellcode

Patch Artifact

shellcode天生完成后,回到原点,可以看到凭据用户的选择,对差别的artifact模板举行patch,以x86的模板为例。

继续跟进patchArtifact

common\BaseArtifactUtils.class

稍微看一下fixChecksum,是通过PE编辑器修复了校验码。

这里不赘述了,对编辑器实现感兴趣的可以去看看pe\PEEditor.class

注重看这里this._patchArtifact(array, s),调用了同名方式,PS:差点以为在看Python

,

usdt收款平台

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

,

读取了resources文件夹下的artifact32.exe作为模板文件,凭据重复的1024个A来定位shellcode位置。

与天生shellcode时类似,使用common/CommonUtils.replaceAt()对bytes流转为的字符串举行编辑替换。

使用16进制编辑器可以直接看到用于标志存放shellcode的位置。

值得一提的是,替换shellcode之后的pe文件,由于shellcode长度没有完全笼罩到标识的1024个A,一样平常天生的exe都市残留部门字符,固然这并不会影响shellcode的执行。

Shellcode Launcher

行使加载器远程回连获取下一阶段payload加载到内存中执行以规避杀软的探测,这种VirtualAlloc到WriteProcessMemory的分配内存模式早已被众多远控木马软件普遍行使。

CS开发者在其最新的先容视频中披露了部门artifact的源码,并演示了若何通过修改加载器绕过了Defender的查杀。

他通过用HeapAlloc来取代VitualAlloc,躲避了大部门的杀软。

在这个基础上,我们添加了对shellcode举行异或加密的功效,显然一个异常精简的基于c++的shellcode加载器就成形了。

然后参考CS的方式,在本应放置shellcode的buf中,置入大量重复的占位符作为定位。

python -c "print(1024*'A')"

用VisualStudio或MingW将其编译为template.exe。

开发免杀小工具

新建一个JavaFx的项目,样式与部门代码参考某chaos免杀小助手。

捋下流程,首先需要对CS或MSF的shellcode举行预处理,然后举行异或加密,读取模板文件,定位到shellcode位置,举行笼罩,最后保留。

有许多类直接可以从CS复制过来就能用。

重点看下xor,为了跟launcher解密一致,需要先转换为int类型举行异或,然后再转回hex,最终打包为jar

天生veil类型的payload,复制粘贴,天生,保留。

最终免杀效果取决于Launcher模板,作为一个异常精简、没什么改动的模板,效果已经出乎意料了。

究竟目的并非追求免杀效果,而应注重于明白CS木马的Artifact天生机制。

Allbet Gaming声明:该文看法仅代表作者自己,与www.allbetgame.us无关。转载请注明:usdt充值(www.caibao.it):从剖析CS木马天生到开发免杀工具
发布评论

分享到:

用usdt充值(www.caibao.it):原创 浙江最低调的大学:毕业生97%成为公务员,被誉为公务员直通车
你是第一个吃螃蟹的人
发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。