CobaltStrike4.x.8助力红队流量免杀

admin

139027
文章

114
评论

2021年4月10日08:05:50评论614 views字数 1284阅读4分16秒阅读模式

CobaltStrike4.x.8助力红队流量免杀

△△△点击上方“蓝字”关注我们了解更多精彩

0x00 简

我的心愿是世界和平。

昨天看HVV的CS IP情报，在里面发现了我的VPS。

自己照着走了一遍搜索关键字，发现自己被标记的原因是因为以前用过没有改造的CS。。。很气

Fofa识别cobalt strike服务器header="HTTP/1.1404 Not Found Content-Type: text/plainDate:"||protocol="cobaltstrike"||cert="Serial Number:146473198"

然后又看到了大家都在助力红队蓝队的，多点快乐。

前段时间根据暗月公众号写的CS免杀文章小小的改造了一下分享的CS4.2.7。但是由于最终发现就一点优化，所以就忽略掉了更新。

CS4.X.7：Cobaltstrike4.x基础特征修改之从端口到checksum8

魔改CobaltStrike：免杀就像便秘一样https://mp.weixin.qq.com/s/M673ni4Mt8VkW5gJ3Tl9IgCobaltStrike
CobaltStrike免杀：从便秘到舒畅https://mp.weixin.qq.com/s/FhcGJl4_vdpDiEAjHl5cmw

其中【魔改CobaltStrike：免杀就像便秘一样】是重写了一个stager loader。

其中【CobaltStrike免杀：从便秘到舒畅】是重写了一个stager模式上线时的流量特征。

两者结合应该能实现不错的免杀效果。

1、重写的stager loader源码需要自行编译，

#我没有进行编译，其中的url需要改成上线url。CS4.x.7中的URL是两串加密的hash值，可以jd-gui反编译查看或在CS profile自定义stage上线的两个set uri【私聊也行】。

2、根据暗月公众号的文章和其github上的修改源码，我将CS4.X.7进行了两处特征修改

1、Default.profile的特征#可能没有修改，因为默认带了一个CS profile文件、
2、导出函数RefletiveLoader名字#源码中有两个dll关键字被替换了,实际修改过程中发现其实我抄的CS profile文件会替换掉内部的一个dll名字。

注意我并没有进行大量的测试，只测试了流量可以正常上线。

如何获取：

1、上一次已获取到CS4.X.7的表哥们可以直接找【MOYU】升级，有4.1.8和4.2.8版本。

2、为了上次活动的公平性，没有获取到的麻烦按照开始的【分享规则】转发朋友圈点赞获取。（特殊时期，赞可以少一点）

【PS:十分感谢暗月师傅的分享，如有任何侵权行为请及时联系】

END

如您有任何投稿、问题、建议、需求、合作、请后台留言NOVASEC公众号！

CobaltStrike4.x.8助力红队流量免杀

或添加NOVASEC-MOYU 以便于及时回复。

CobaltStrike4.x.8助力红队流量免杀

感谢大哥们的对NOVASEC的支持点赞和关注

加入我们与萌新一起成长吧！

本团队任何技术及文件仅用于学习分享，请勿用于任何违法活动，感谢大家的支持！！

本文始发于微信公众号（NOVASEC）：CobaltStrike4.x.8助力红队流量免杀

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

CobaltStrike4.x.8助力红队流量免杀

Erlang/OTP SSH 远程代码执行漏洞（CVE-2025-32433）POC及一键部署环境

CVE-2017-3066 深入利用获取命令回显

不出网环境下的渗透测试

国外优秀SRC赏金文章集合

记一次Druid Monitor漏洞日常渗透

HTB - nocturnal

渗透测试 | 某系统三连shell

2025年LLM应用十大安全风险！OWASP最新指南

election

当心你的 AI！使用 Replit AI 掩盖你的 C2 流量

发表评论

在线咨询

微信