关于二次开发后的CobaltStrike
默认的CobaltStrike内存在多处流量特征,在马儿与服务端建立连接时进行流量交互.此间存在多处可疑特征已被各大杀软记录在册
如:卡巴斯基,诺顿,迈克菲等,但国内杀软并无此功能.
所以在客户端进行免杀的同时服务端在流量交互方面也需要特征去除,才产生了二次开发后CobaltStrike.
此次二开为CobaltStrike4.1版本.
效果截图
迈克菲截图
卡巴斯基截图
诺顿截图
注:所有的CobaltStrike上线未被查杀都基于客户端的马儿未被AV静态查杀的前
注:所有的CobaltStrike上线未被查杀都基于客户端的马儿未被AV静态查杀的前提下,达到了动态免杀.
使用方法
1.将cobaltstrike.jar文件替换服务端的原有jar
2.将cobaltstrike.jar文件替换客户端的原有jar
3.请确保服务端或客户端的Java环境在Jdk10以上(包含JDK10)
修改特征处
1.修改默认DefaultProfile文件
2.修改checksum()函数
3.修改反射处dll名称
求star,求star,求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star求star
虚拟机运行,可以先学习下作者的二开思路,我的一个很好的兄弟二开的
本文始发于微信公众号(渗透云笔记):二次开发CobaltStrike
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论