聊聊关于Havoc相对于CobaltStrike的评测

admin 2024年8月5日12:33:24评论76 views字数 2443阅读8分8秒阅读模式
前言

 开更。又到一年一度的时刻哩,另外今年奉劝各位高手管住自己的手,禁止来骗来偷袭,不然真的进来喝茶哟~,场外人员真的3年起步哟~

免责声明:

本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关。

注意:

本免责声明旨在明确指出,本文仅为技术交流、学习和研究之用,不得将文章中的技术用于任何非法目的或破坏行为。发表本文章的作者对于任何非法使用技术或对他人或系统造成的损害概不负责。

阅读和参考本文章时,您必须明确并承诺,不会利用文章中提供的技术来实施非法活动、侵犯他人的权益或对系统进行攻击。任何使用本文中的技术所导致的任何意外、损失或损害,包括但不限于数据损失、财产损失、法律责任等问题,都与发表本文章的作者无关。

本文提供的技术信息仅供学习和参考之用,不构成任何形式的担保或保证。发表本文章的作者不对技术的准确性、有效性或适用性做任何声明或保证。

01
Havoc与CobaltStrike
CobaltStrike(后文简称CS)是一种合法的红队工具和渗透测试框架,主要用于评估网络安全防御的有效性。它提供了全面的攻击模拟功能,允许用户进行命令与控制(C2)操作、漏洞利用、横向移动以及后门植入等活动。
CobaltStrike以其灵活性和强大的功能而著称,包括钓鱼攻击、凭证收集、会话管理和数据渗透等。虽然它在网络安全领域具有合法用途,但也常常被恶意黑客滥用,进行高级持续性威胁(APT)攻击。因此,了解和防御CobaltStrike的攻击策略是现代网络安全的重要组成部分。
而Havoc也是一种开源的后渗透命令与控制(C2)框架,旨在帮助安全研究人员和渗透测试人员进行网络安全评估。它可以被用于模拟攻击者行为,执行命令与控制操作,并进行各种后渗透测试活动。Havoc的设计目标是提供灵活且易于扩展的架构,支持多种攻击技术和模块,帮助用户深入理解和改进其网络防御能力。
CobaltStrike和Havoc都是用于渗透测试和网络安全评估的命令与控制(C2)框架,但它们在许多方面有所不同。

Cobalt Strike

  1. 商业工具

    • Cobalt Strike 是一个付费的商业工具,由Strategic Cyber LLC开发。

    • 提供正式的技术支持和定期更新。

  2. 功能

    • 包含广泛的攻击模拟功能,包括钓鱼攻击、漏洞利用、凭证收集、横向移动和数据渗透等。

    • 内置强大的后门植入功能和命令与控制功能。

    • 支持团队协作,适合大型红队行动

  3. 使用广泛

    • 被广泛应用于企业级安全测试和红队评估。

    • 由于其强大的功能和易用性,也常被恶意黑客滥用进行高级持续性威胁(APT)攻击。

Havoc

  1. 开源工具

    • Havoc 是一个开源的C2框架,可以免费使用和修改。

    • 社区驱动,更新和支持主要依靠社区贡献。

  2. 灵活性

    • 设计为一个模块化和易于扩展的架构,用户可以根据需要添加自定义模块和功能。

    • 支持多种攻击技术和模块,有较高的定制化能力。

  3. 用户群体

    • 主要面向个人渗透测试人员和安全研究人员。

    • 由于是开源项目,适合那些需要灵活性和自定义能力的用户。

02
Havoc评测

1.Havoc更接近于私人定制,目前Github上issue仍然非常多,总结就是Bug还有很多地方要修复,稳定性稍微差一些。

聊聊关于Havoc相对于CobaltStrike的评测

当然由于是独立开发作者,别人能开源放出来也是很有分享精神的。

2.某些细节稍微差些

1)无回连容错

相比Cs,无回连机制,remove的session不会主动回连,总而言之,寄了就寄了。

聊聊关于Havoc相对于CobaltStrike的评测

比如,session栏里remove掉,受害者那边木马还在运行,但就是不回连。

聊聊关于Havoc相对于CobaltStrike的评测

remove后(受害者端)

聊聊关于Havoc相对于CobaltStrike的评测

控制端(2000 year Later)

聊聊关于Havoc相对于CobaltStrike的评测

笑死~(回连其实很重要,某些环境下受害者会切换网络,导致权限丢失就很亏了)

聊聊关于Havoc相对于CobaltStrike的评测

2)免杀效果

生成的shellcode本体比较小,90KB左右

聊聊关于Havoc相对于CobaltStrike的评测

效果上,笔者就拿Defender做演示,因为自带的BOF比较多,执行系统命令也不必要,还是可以作为研究使用的

聊聊关于Havoc相对于CobaltStrike的评测

查杀库也是最新的:

聊聊关于Havoc相对于CobaltStrike的评测

没啥动静,尚可;再执行一些命令看看

聊聊关于Havoc相对于CobaltStrike的评测

比如试试抓的比较死的shellcode注入(用的CS的shellcode)

聊聊关于Havoc相对于CobaltStrike的评测

起个CS试试,Havoc执行注入(它有自己的注释,还有子命令的,就很好):

聊聊关于Havoc相对于CobaltStrike的评测

看一眼CS,加载shellcode已经上线了

聊聊关于Havoc相对于CobaltStrike的评测

聊聊关于Havoc相对于CobaltStrike的评测

由于是走的Self Inject,所以并没有被Defender抓行为

聊聊关于Havoc相对于CobaltStrike的评测

至于缺陷~

同时上线的时候,容易寄

聊聊关于Havoc相对于CobaltStrike的评测

例如,Defender没查杀它,进程自己就崩了。

聊聊关于Havoc相对于CobaltStrike的评测

3)payload自定义

聊聊关于Havoc相对于CobaltStrike的评测

这里可以选择你生成的一些规避查杀的手段(比如bypassAMSI),当然失效了还可以自己改源码。

值得一说的是,和CS生成payload的不同在于,Havoc每次生成的Payload都是gcc编译生成的,所以exe生成比较慢;CS则是使用的编译好的EXE、DLL模板,填充回连地址,配置文件即可。

4)开源

Havoc是开源的,上文也提到过,所以如果有什么特征查杀,行为查杀,还是比较好改的。

CobaltStrike是一套商业产品,开发公司是漂亮国的,即便有钱去买,别人未必肯卖给Chinese.

对于杀毒的查杀,官方有一套arsenal-kit 进行修补二进制程序,但是治标不治本,后期要是开发公司整点开箱即用的免杀技术进去,arsenal-kit又改不了,那就是妥妥的强特征,一查杀一个准。

聊聊关于Havoc相对于CobaltStrike的评测

03

小结

1.关于Havoc,最早2022年笔者就关注过,只是当时的BUG更加的多~,客户端甚至存在闪退的问题~,那之后就未关注过了。 

2.相对于Havoc,CobaltStrike就要成熟许多,稳定性也很好,毕竟经过了多年实战环境的冲刷。

即便原生的马儿免杀效果不是很好了,个人还是比较倾向CS。

04

后话

对于Havoc可以考虑删减一点被查杀的功能,做个前置马,用来做维持,因为体积小,特征容易改,不容易被查杀。

再搞个拓展C2上线CS,做渗透,两全其美?

聊聊关于Havoc相对于CobaltStrike的评测

👇关注我了解更多安全小技巧

原文始发于微信公众号(JC的安全之路):聊聊关于Havoc相对于CobaltStrike的评测

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月5日12:33:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   聊聊关于Havoc相对于CobaltStrike的评测https://cn-sec.com/archives/2981815.html

发表评论

匿名网友 填写信息