Cobalt Strike 流量伪装与免杀小技巧-先知社区

Cobalt Strike 流量伪装

之前接触Cobalt Strike并不多，多是使用msf或者平台化的viper，这次算是初识

客户端 AND 服务端

Cobalt Strike采用的是c/s架构，客户机的启动强制要求链接服务器，一般从网上下载的cs破解版本就包含了这两者

以root用户拉起teamserver

不知道为什么，server在我本地电脑上拉起的速度很慢，完成后为这样

图片加载失败

没忍住还是跑了一个汉化包，就简单使用上来说与viper很像，或者说本就师出同源，先监听后生成/或者钓鱼木马

图片加载失败

基础流量修改

这里进入正题，写一写课上说的有关cs流量的伪装

teamserver相关

在teamserver的启动脚本中主要关注两句话keytool与最后一句启动所调用的java

即

第一句话调用了本地的keytool生成了一个名为cobaltstrike.store的密钥，且密钥都是Microsoft，这里就可以自由发挥的做些修改，例如

第二段是调用java拉起了团队服务器的镜像所调用的命令是

主要是对50050进行修改，这个端口太明显了，下面是绑定的ip，默认是绑定所有的ip

profile修改

在Cobalt Strike中profile用于定义攻击流量的样式

随意拉取了一个Malleable-C2-Profiles中的模板修改，如果要验证profile的正确性，在4.7版本前使用的是c2lint，之后集成到了团队服务器镜像

profile的文件结构还算好看，基本由

的结构组成，这次训练的一共提到了以下的模块

了解这些基本就能做一些简单的编写了

基本配置

最后我配置完成的是这样的

分别将get请求与post请求伪装为api请求与登入请求，编写的难度其实不高，遇到不了解的函数可以看

https://hstechdocs.helpsystems.com/manuals/cobaltstrike/current/userguide/content/topics/welcome_main.htm

这个文档，其中涵盖了应该是所有的函数

上线测试

图片加载失败

上线成功打开Wireshark看看流量是否预期

图片加载失败

混淆的http

图片加载失败

https通信

免杀小技巧

virtest

图片加载失败

可以快速确定杀软识别的特征点，方便手动修改，但经常修改完软件就爆炸，或者直接不启动，算是上古神器了

签名伪造

很多厂商在推出软件后都会在自己的软件上捆上签名，如果能获得或者伪造，也能bypass一些杀软

图片加载失败

不能说完全没用，微步13变11，virustotal 58变53，而且虽然能显示签名但其实假的终究是假的

图片加载失败

后续有机会继续研究，如果是单纯签名各家的签名效果都不太一样，或许在钓鱼方面能有奇效

这里我使用的工具：

https://github.com/chroblert/JSigThief

加壳

也是很old school的方法了，但依旧常见

upx 经典中的经典

加壳也简单

但是单纯的壳依旧不好用了，以下的是加了签名与默认upx的沙箱跑分

图片加载失败

好看太多了

对于upx还有些混淆的方法，就比如使用hex编辑器替换掉所有upx相关字符

图片加载失败

这样可以让

upx -d

无法识别，从而无法脱壳，但太古典了，没有什么用

其他壳

VMProtect

一个商业壳，不过有破解版，就算不用破解版似乎也能输出

破解版加壳效果

图片加载失败

在存在火绒的设备中能做到静态免杀，只要一运行就会被杀