解决《完全无法检测的CobaltStrike》中的2个bug。
bug修复
1. 使用了插件后依然报cobaltstrike
原因:修补不到位导致遗漏1个特征。
解决方法:在BokuLoader.cna文件中第449行下增加一行。
$beacon_dll = strrep($beacon_dll, "%s as %s\%s: %d", "%s cc %s\%s: %d");如下图:
![[bug修复]完全无法检测的CobaltStrike](http://cn-sec.com/wp-content/uploads/2024/11/8-1731067166.jpeg "[bug修复]完全无法检测的CobaltStrike")
1. 加了上述后再报cobaltstrike
原因:修补不到位导致遗漏另1个特征。
解决方法:在监听器中增加任意围栏4选1。
IP 地址:192.*.*.*
用户名:如(admin*或*admin),大小写都可
服务器名:普通电脑名称通常是desktop-xx,可设置(desktop* 或*desktop)大小写都可
域:目标域名(domain* 或 *domain),大小写都可如下图:
![[bug修复]完全无法检测的CobaltStrike](http://cn-sec.com/wp-content/uploads/2024/11/0-1731067166.jpeg "[bug修复]完全无法检测的CobaltStrike")
解决上述bug后无法被查杀:
![[bug修复]完全无法检测的CobaltStrike](http://cn-sec.com/wp-content/uploads/2024/11/7-1731067167.jpeg "[bug修复]完全无法检测的CobaltStrike")
如有发现任何其他bug或问题请留言。
原文始发于微信公众号(白帽子安全笔记):[bug修复]完全无法检测的CobaltStrike
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论