1. 前言

本次文章主要讲解和展示cobalt strike在对抗主流国外edr和主流大型杀软的测试效果。

• 本文使用的cobalt strike马分别为：cobalt strike 4.5二开（完全抹除特征版 ），cobalt strike 4.7以及cobalt strike 4.9。
• 测试edr sentelone 。杀软kb endpoint， eset smart。
• shellcode的加载形式为：loader+shellcode以及白加黑。

2. 静态规避

之前的两期文章我说过（闲谈免杀1、闲谈免杀2）：cs目前在对抗这些杀软上完全处于一个极其糟糕的情况，这里我再次指出问题的主要原因：特征码！

不管是静态层面还是动态层面上，几乎可以说是被各大厂商研究透彻。但是在静态层面上面，如果你对shellcode采用强加密和分离式，或者白加黑的方法，是完全可以绕过静态检测的，这里我们排除赛门铁克（这个杀软在静态层查杀不太一样）。

3. 动态规避

3.1 卡巴查杀测试

这个作为整个shellcode运行链最关键的一环, 首先我们测试卡巴，目前三个版本都是可以上线的。

我之前说过卡巴在你的loader中没有使用特别敏感操作api的情况下，基本上都是可以正常上线的，但是为什么上线一段时间之后就被查杀了（这里我未做任何操作）？

答案是内存扫描发现了cs特征码，即便是使用堆栈混淆sleep操作cs4.5二开和cs4.7依旧是被查杀，目前只有cs4.9的混淆睡眠较为稳定。

简单的分析一下：

很多睡眠混淆的大部分基于一叫做SystemFunction032函数实现的混淆，该函数很可能被hook了或者说通过卡巴的栈回溯定位该函数的返回地址，然后追踪到了我们的恶意代码上。

在这里loader使用了dll hollow技术，或许也可能是hollow的行为导致其被卡巴查杀，但基于cs4.9在没有在sleep时就被查杀，所以这个暂时也不太好说。

3.2 eset查杀测试

在上线测试中，shellcode和loader均未被查杀，只是提示某个线程存在联网的情况。有可能是我在局域网内进行测试，没有使用代理或是eset将当前的地址直接当作一个非法链接的地址，只是阻止了连接，但未报毒。

当我换成代理或者一个《合法地址》的时候，eset并未查杀；同时执行sleep混淆操作，3个版本的cs都可以正常上线。但当我执行shell命令的时却立马被查杀，这也就是我之前所说的，eset是一个对行为操作极其敏感的杀软。所以在对抗行为检测类杀软的时候，cs尽量使用模块化插件的方式去获取cmd或者pw回显信息。

3.3 sentinelone edr查杀测试

这个sentinelone edr和CrowdStrike是齐名的，在国外的大型公司很受欢迎。在这里使用cs4.9的shellcode直接成功上线，但cs4.9在我执行了一些操作之后也是被查杀了。

但是二开的4.5和cs4.7是直接落地无法运行，并在一段时间被杀软删除。

在这里需要补充一下一个前置知识：

• edr和正常的杀软的查杀模式不太一样，虽然整体上都是大差不差的。但是edr会使用userland hook或者对接etwti进行日志行为分析，由于现在市面上绕过userland hook的手法太多了，edr渐渐都会以内核层的etwti作为主流的日志行为进行分析，如果在r3层你想要对抗etwti，是非常的困难的，至少目前市面上很多开源的c2都只是尝试的bypass。

回到查杀原因，我认为在流量层面和行为层面都是查杀的原因，但具体的原因我并未细究，因为用cs（差不多算是开源了。。。）去挑战顶级edr，本身就是不太现实的，分析这个比较浪费时间，所以这也就是为什么顶级红队使用自研c2的原因。

4. 简单的总结

以下仅属于个人观点：

• cs目前已经不能在作为主流的c2了，建议放弃，可以选择使用其它的小众的c2或者使用最新的版本c2，也可以是带有源码的二开版本c2，cs的特征非常明显，在各大厂商的特征库中更新极快。

• edr和传统的杀软存在一定的差异，它们或许对于cs静态和动态不一定非常敏感，而是更多根据你的行为操作，作为跳板进行日志分析和回溯，进一步确定你的行为操作。所以堆栈欺骗的重要性就显得较为重要，其次对于bypass etwti在r3层或许对于cs来说是一个无法绕过的问题了，最好的方法就是使用自研c2，但是自研的c2依旧需要进行一些必要的混淆欺骗的操作！

• 本文不会去重点讲解sentinelone，鉴于大部分安全人员无法拿到该杀软的实体以及对windows系统的安全日志机制可能了解不太多，所以这里只是作为一个杀软的参照。

• 自研c2对于大部分安全人员来说太困难了，这个我在以前就说过了，完成一套商用版的c2仅仅靠一个人是很难完成的。如果不想自己去自研的话，我建议还是使用havoc 来进行二开。

  项目地址：

  https://github.com/HavocFramework/Havoc/tree/main
  

  这是可以自己编译的源码，在这里推荐的主要原因是havoc的qt的界面比起sliver c2的更好。

文章来源：乌鸦安全