二次开发CobaltStrike

  • A+
所属分类:安全文章

关于二次开发后的CobaltStrike

默认的CobaltStrike内存在多处流量特征,在马儿与服务端建立连接时进行流量交互.此间存在多处可疑特征已被各大杀软记录在册
如:卡巴斯基,诺顿,迈克菲等,但国内杀软并无此功能.
所以在客户端进行免杀的同时服务端在流量交互方面也需要特征去除,才产生了二次开发后CobaltStrike.
此次二开为CobaltStrike4.1版本.

效果截图

二次开发CobaltStrike

迈克菲截图


二次开发CobaltStrike

卡巴斯基截图

二次开发CobaltStrike


诺顿截图


注:所有的CobaltStrike上线未被查杀都基于客户端的马儿未被AV静态查杀的前


注:所有的CobaltStrike上线未被查杀都基于客户端的马儿未被AV静态查杀的前提下,达到了动态免杀.

使用方法

1.将cobaltstrike.jar文件替换服务端的原有jar

二次开发CobaltStrike

2.将cobaltstrike.jar文件替换客户端的原有jar

二次开发CobaltStrike

3.请确保服务端或客户端的Java环境在Jdk10以上(包含JDK10)

修改特征处

1.修改默认DefaultProfile文件

2.修改checksum()函数

3.修改反射处dll名称


求star,求star,求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star



虚拟机运行,可以先学习下作者的二开思路,我的一个很好的兄弟二开的

本文始发于微信公众号(渗透云笔记):二次开发CobaltStrike

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: