闲来无事,聊聊CobaltStrike在攻防对抗中的一些Bypass操作。
Profiles是CobalStrike流量混淆的基础,当然也会操纵shellcode的一些加载和执行方式,用于绕过杀毒,网上也有很多相关的profile,当然流传的是APT组织的那些肯定是重点标记的,这里简单的举例,笔者首先做一组对比测试。
1)无profiles
生成的shellcode
嗯,落地就被干碎,挺正常的,毕竟啥也没做处理
2)加载profiles
再生成一个shellcode
杀不到了
可以看到这里其实已经过了火绒的静态了,关键点在于profiles里面替换了大量的敏感字符,也就是所谓的静态特征,随意截取一段
这里主要是对stag的处理,也就是去除被标记的特征。
Arsenal-kit是cs官方出的一个帮助免杀的套件,可以通过简单的配置绕过查杀,而ArtifactKit是在arsenal-kit当中的一个处理beacon的套件,通过修改加载方式等,bypass杀毒,主要还是ArtifactKit这个插件,这个插件呢主要针对一阶段马Artifact,二阶段马就没那么好的效果了
![聊聊红队攻防中CobalStrike的多维度对抗]( "聊聊红队攻防中CobalStrike的多维度对抗")
生成这些东西还是需要做简单配置,随便改下
![聊聊红队攻防中CobalStrike的多维度对抗]( "聊聊红队攻防中CobalStrike的多维度对抗")
简单编译一下
![聊聊红队攻防中CobalStrike的多维度对抗]( "聊聊红队攻防中CobalStrike的多维度对抗")
然后加载插件
![聊聊红队攻防中CobalStrike的多维度对抗]( "聊聊红队攻防中CobalStrike的多维度对抗")
再生成一个shellcode,为了有效的验证这个工具的绕过查杀的效果,我这里先取消了profiles,再做验证
![聊聊红队攻防中CobalStrike的多维度对抗]( "聊聊红队攻防中CobalStrike的多维度对抗")
确保裸马是被杀的
![聊聊红队攻防中CobalStrike的多维度对抗]( "聊聊红队攻防中CobalStrike的多维度对抗")
![聊聊红队攻防中CobalStrike的多维度对抗]( "聊聊红队攻防中CobalStrike的多维度对抗")
现在加载插件生成一个新的shellcode
![聊聊红队攻防中CobalStrike的多维度对抗]( "聊聊红队攻防中CobalStrike的多维度对抗")
可以看到没有查杀了,这里放张vt的图,证明效果还是可以的
![聊聊红队攻防中CobalStrike的多维度对抗]( "聊聊红队攻防中CobalStrike的多维度对抗")
Arsenal-kit是cs官方出的一个帮助免杀的套件,可以通过简单的配置绕过查杀,而ArtifactKit是在arsenal-kit当中的一个处理beacon的套件,通过修改加载方式等,bypass杀毒,主要还是ArtifactKit这个插件,这个插件呢主要针对一阶段马Artifact,二阶段马就没那么好的效果了
生成这些东西还是需要做简单配置,随便改下
简单编译一下
然后加载插件
再生成一个shellcode,为了有效的验证这个工具的绕过查杀的效果,我这里先取消了profiles,再做验证
确保裸马是被杀的
现在加载插件生成一个新的shellcode
可以看到没有查杀了,这里放张vt的图,证明效果还是可以的
这里使用二阶段生成的shellcode搭配自写的免杀,很轻松就可过Defender
最新版本Defender
denfender一声不吭
火绒如下
某擎,一声不吭嗷
甚至执行个命令也无事发生
从前的时候,会告警内存里有cs(吃了好多次亏,麻麻滴),现在告都不告了,笑死
原文始发于微信公众号(JC的安全之路):聊聊红队攻防中CobalStrike的多维度对抗
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论