开更。又到一年一度的时刻哩,另外今年奉劝各位高手管住自己的手,禁止来骗来偷袭,不然真的进来喝茶哟~,场外人员真的3年起步哟~
免责声明:
本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关。
注意:
本免责声明旨在明确指出,本文仅为技术交流、学习和研究之用,不得将文章中的技术用于任何非法目的或破坏行为。发表本文章的作者对于任何非法使用技术或对他人或系统造成的损害概不负责。
阅读和参考本文章时,您必须明确并承诺,不会利用文章中提供的技术来实施非法活动、侵犯他人的权益或对系统进行攻击。任何使用本文中的技术所导致的任何意外、损失或损害,包括但不限于数据损失、财产损失、法律责任等问题,都与发表本文章的作者无关。
本文提供的技术信息仅供学习和参考之用,不构成任何形式的担保或保证。发表本文章的作者不对技术的准确性、有效性或适用性做任何声明或保证。
Cobalt Strike
-
商业工具:
-
Cobalt Strike 是一个付费的商业工具,由Strategic Cyber LLC开发。
-
提供正式的技术支持和定期更新。
-
功能:
-
包含广泛的攻击模拟功能,包括钓鱼攻击、漏洞利用、凭证收集、横向移动和数据渗透等。
-
内置强大的后门植入功能和命令与控制功能。
-
支持团队协作,适合大型红队行动。
-
使用广泛:
-
被广泛应用于企业级安全测试和红队评估。
-
由于其强大的功能和易用性,也常被恶意黑客滥用进行高级持续性威胁(APT)攻击。
Havoc
-
开源工具:
-
Havoc 是一个开源的C2框架,可以免费使用和修改。
-
社区驱动,更新和支持主要依靠社区贡献。
-
灵活性:
-
设计为一个模块化和易于扩展的架构,用户可以根据需要添加自定义模块和功能。
-
支持多种攻击技术和模块,有较高的定制化能力。
-
用户群体:
-
主要面向个人渗透测试人员和安全研究人员。
-
由于是开源项目,适合那些需要灵活性和自定义能力的用户。
1.Havoc更接近于私人定制,目前Github上issue仍然非常多,总结就是Bug还有很多地方要修复,稳定性稍微差一些。
当然由于是独立开发作者,别人能开源放出来也是很有分享精神的。
2.某些细节稍微差些
1)无回连容错
相比Cs,无回连机制,remove的session不会主动回连,总而言之,寄了就寄了。
比如,session栏里remove掉,受害者那边木马还在运行,但就是不回连。
remove后(受害者端)
控制端(2000 year Later)
笑死~(回连其实很重要,某些环境下受害者会切换网络,导致权限丢失就很亏了)
2)免杀效果
生成的shellcode本体比较小,90KB左右
效果上,笔者就拿Defender做演示,因为自带的BOF比较多,执行系统命令也不必要,还是可以作为研究使用的
查杀库也是最新的:
没啥动静,尚可;再执行一些命令看看
比如试试抓的比较死的shellcode注入(用的CS的shellcode)
起个CS试试,Havoc执行注入(它有自己的注释,还有子命令的,就很好):
看一眼CS,加载shellcode已经上线了
由于是走的Self Inject,所以并没有被Defender抓行为
至于缺陷~
同时上线的时候,容易寄
例如,Defender没查杀它,进程自己就崩了。
3)payload自定义
这里可以选择你生成的一些规避查杀的手段(比如bypassAMSI),当然失效了还可以自己改源码。
值得一说的是,和CS生成payload的不同在于,Havoc每次生成的Payload都是gcc编译生成的,所以exe生成比较慢;CS则是使用的编译好的EXE、DLL模板,填充回连地址,配置文件即可。
4)开源
Havoc是开源的,上文也提到过,所以如果有什么特征查杀,行为查杀,还是比较好改的。
CobaltStrike是一套商业产品,开发公司是漂亮国的,即便有钱去买,别人未必肯卖给Chinese.
对于杀毒的查杀,官方有一套arsenal-kit 进行修补二进制程序,但是治标不治本,后期要是开发公司整点开箱即用的免杀技术进去,arsenal-kit又改不了,那就是妥妥的强特征,一查杀一个准。
当然由于是独立开发作者,别人能开源放出来也是很有分享精神的。
2.某些细节稍微差些
1)无回连容错
相比Cs,无回连机制,remove的session不会主动回连,总而言之,寄了就寄了。
比如,session栏里remove掉,受害者那边木马还在运行,但就是不回连。
remove后(受害者端)
控制端(2000 year Later)
笑死~(回连其实很重要,某些环境下受害者会切换网络,导致权限丢失就很亏了)
2)免杀效果
生成的shellcode本体比较小,90KB左右
效果上,笔者就拿Defender做演示,因为自带的BOF比较多,执行系统命令也不必要,还是可以作为研究使用的
查杀库也是最新的:
没啥动静,尚可;再执行一些命令看看
比如试试抓的比较死的shellcode注入(用的CS的shellcode)
起个CS试试,Havoc执行注入(它有自己的注释,还有子命令的,就很好):
看一眼CS,加载shellcode已经上线了
由于是走的Self Inject,所以并没有被Defender抓行为
至于缺陷~
同时上线的时候,容易寄
例如,Defender没查杀它,进程自己就崩了。
3)payload自定义
这里可以选择你生成的一些规避查杀的手段(比如bypassAMSI),当然失效了还可以自己改源码。
值得一说的是,和CS生成payload的不同在于,Havoc每次生成的Payload都是gcc编译生成的,所以exe生成比较慢;CS则是使用的编译好的EXE、DLL模板,填充回连地址,配置文件即可。
4)开源
Havoc是开源的,上文也提到过,所以如果有什么特征查杀,行为查杀,还是比较好改的。
CobaltStrike是一套商业产品,开发公司是漂亮国的,即便有钱去买,别人未必肯卖给Chinese.
对于杀毒的查杀,官方有一套arsenal-kit 进行修补二进制程序,但是治标不治本,后期要是开发公司整点开箱即用的免杀技术进去,arsenal-kit又改不了,那就是妥妥的强特征,一查杀一个准。
小结
1.关于Havoc,最早2022年笔者就关注过,只是当时的BUG更加的多~,客户端甚至存在闪退的问题~,那之后就未关注过了。
2.相对于Havoc,CobaltStrike就要成熟许多,稳定性也很好,毕竟经过了多年实战环境的冲刷。
即便原生的马儿免杀效果不是很好了,个人还是比较倾向CS。
2.相对于Havoc,CobaltStrike就要成熟许多,稳定性也很好,毕竟经过了多年实战环境的冲刷。
即便原生的马儿免杀效果不是很好了,个人还是比较倾向CS。
后话
对于Havoc可以考虑删减一点被查杀的功能,做个前置马,用来做维持,因为体积小,特征容易改,不容易被查杀。
再搞个拓展C2上线CS,做渗透,两全其美?
👇关注我了解更多安全小技巧
原文始发于微信公众号(JC的安全之路):聊聊关于Havoc相对于CobaltStrike的评测
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论