cobaltstrike篇二---beacon

admin 2023年4月11日03:11:35评论33 views字数 895阅读2分59秒阅读模式

cobaltstrike篇二---beacon

文章简介

这是关于coblatstrike的beacon篇

cobaltstrike篇二---beacon



cobaltstrike篇二---beacon
文章内容


交互过程总览

对于一次服务端和客户端的交互过程,以及服务端和植入物的交互过程,服务端在其中充当了一个重要的角色:

cobaltstrike篇二---beacon

这大概就是一次命令的完整响应过程。



植入物的上线过程协议

cobaltstrike篇二---beacon

合并的数据是采用各个参数:

cobaltstrike篇二---beacon

cobaltstrike篇二---beacon

植入物上线的过程协议如图。

关键文件在于:

beacon.BeaconC2#process_beacon_metadata(common.ScListener, java.lang.String, byte[], java.lang.String, int)

common.BeaconEntry#BeaconEntry(byte[], java.lang.String, java.lang.String, java.lang.String)

数据处理的过程是这两个java文件里面


其中id是客户端随机生成,在beacon中是作为beacon ID使用


植入物命令发送协议

cobaltstrike篇二---beacon


响应流程图

cobaltstrike篇二---beacon

关于dll解密的操作,比如chrome.dll的解密操作:

cobaltstrike篇二---beacon


关于时序性:
个人觉得默认就需要采用时序性浮动,然而这个开启需要通过profile设置,看到很多默认的profile都没有设置这个选项,包括数据和时间。

关于可信任的流量:
其实可以实现一个狸猫换太子的操作,在流量层面掩盖真实的流量,其实这整个过程的交互类似于:

cobaltstrike篇二---beacon

类似于如此架构。

关于beaconeye:
beaconeyes的bypass方式是以插件的方式,然而cs采用的是bof的方式,会去读取sleep.o的文件,通过patch的方式添加到植入物里面,这里转换了实现的方式。

cs的特征检测:
很多cs的特征,之前通过404 not found+date可以发现很多相关的特征,当然这只是一个辅助判断,官方之前提到过这个问题,然而在源码中未能确认到具体的修改措施。

内存特征:
cs的运行内存会暴露一些敏感信息,然而,这不是针对于beacon的。

源码层面的东西涉及特别多,这里未体现出来,希望这些能帮助到有需要的人。


cobaltstrike篇二---beacon
文章总结




希望对大家有所帮助。




原文始发于微信公众号(bytecode11):cobaltstrike篇二---beacon

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年4月11日03:11:35
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   cobaltstrike篇二---beaconhttp://cn-sec.com/archives/1665645.html

发表评论

匿名网友 填写信息