sleepmask kit只能解决在运行时进行内存保护,这在绕过内存扫描时足够应对,但如果遇到沙箱会发生什么?今天我们将运用之前的一系列内容,修改并配置一个真正无法被检测的cobaltstrike。
使用护栏绕过沙箱
使用cobaltstrike加载sleepmask插件,在监听器设置护栏,采用《红队免杀加载器过主流杀软》生成一个小马,谁说沙箱不能传,照传不误。(如下图)
显而易见,即使我们设置了sleepmask,沙箱命中CobaltStrike相关Yara规则,另外我们发现,护栏生效,无法跑出我们的目标IP。(如下图)
护栏技术是ATTCK的一项防御规避技术,相当于白名单。在4.8+Cobalt Strike才支持,至此无需反沙箱反虚拟机等代码,直接使用内置围栏即可,效果更优。
yara特征绕过
事实证明,我们在本地使用yara扫描结果并不能代表最终扫描结果(《三步免杀卡巴斯基,免杀数字时长达一周以上》),看到微步上面的那2个内存文件没有,我们直接下载下来,然后找到沙箱用的那些开源规则共计4个,并使用如下命令进行批量yara本地检查。
C:Userspc3Downloadsyara-v4.5.2-2326-win64>yara64.exe apt_cobaltstrike.yar apt_cobaltstrike_evasive.yar MALW_cobaltstrike.yar Windows_Trojan_CobaltStrike.yar 92f5863abafcad3d_3208_36281745826341112024
另外为了排除误报,把内存文件丢到360云沙箱看下,同样如此,看来yara静态存在问题,唯一的区别是360不会告诉你规则,只会显示cobaltstrike。(如下图)
拿到本地,共命中如下5条规则(如下图),接下来我们将修复它。
HKTL_CobaltStrike_Beacon_Strings
HKTL_Win_CobaltStrike
CobaltStrike_MZ_Launcher
Windows_Trojan_CobaltStrike_f0b627fc
Windows_Trojan_CobaltStrike_1787eef5
去除方式此处不便透露。
全绿
生成paylaod,采用《自用红队加载器过主流杀软已免杀半年》的更新版一键生成一个exe上传微步。
显而易见,yara检测通过,0/27
杀软全部通过,有1
个WriteProcessMemory
API被标记为高危行为。另外还看到查询系统用户名
(因为用到了护栏技术username匹配)显示黄色。
拿出高超音速武器
,《间接系统调用APC注入EDR绕过免杀加载器》。0/27
全部通过,没有高危函数
,以上问题全部解决。
放在卡巴斯基虚拟机执行命令,并运行扫描,提示已完成扫描,没有发现威胁
。
原文始发于微信公众号(白帽子安全笔记):完全无法检测的CobaltStrike
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论