CobaltStrike免杀:从便秘到舒畅

CobaltStrike免杀:从便秘到舒畅
CobaltStrike免杀:从便秘到舒畅
1
概述

有老哥看了前几天发的便秘帖子后,说鸡哥不讲武德,shellcode没发出来,卡巴都没有过,帖子就这样结束了。这次一起奉上,CS通杀所有常见杀软上线运行,相关文件以上传到:

https://github.com/mai1zhi2/CobaltstrikeSource/

2
效果展示

2.1火绒

执行shellcode部分:

CobaltStrike免杀:从便秘到舒畅

执行到反射dll:

CobaltStrike免杀:从便秘到舒畅

运行上线:

CobaltStrike免杀:从便秘到舒畅

火绒沦为摆设:

CobaltStrike免杀:从便秘到舒畅


2.2360

执行shellcode部分:

CobaltStrike免杀:从便秘到舒畅

执行到反射dll:

CobaltStrike免杀:从便秘到舒畅

运行上线:

CobaltStrike免杀:从便秘到舒畅

360沦为摆设:

CobaltStrike免杀:从便秘到舒畅


2.3腾讯管家

执行shellcode部分:

CobaltStrike免杀:从便秘到舒畅

执行到反射dll:

CobaltStrike免杀:从便秘到舒畅

运行上线:

CobaltStrike免杀:从便秘到舒畅

软件管家沦为摆设:

CobaltStrike免杀:从便秘到舒畅


2.4卡巴

执行shellcode部分:

CobaltStrike免杀:从便秘到舒畅

CobaltStrike免杀:从便秘到舒畅

执行到反射dll:

CobaltStrike免杀:从便秘到舒畅

运行上线:

CobaltStrike免杀:从便秘到舒畅

卡巴沦为摆设:

CobaltStrike免杀:从便秘到舒畅



2.5麦咖啡

执行shellcode部分:

CobaltStrike免杀:从便秘到舒畅

执行到反射dll:

CobaltStrike免杀:从便秘到舒畅

运行上线:

CobaltStrike免杀:从便秘到舒畅

麦咖啡沦为摆设:

CobaltStrike免杀:从便秘到舒畅


3
总结

3.1 为什么能免杀

1Shellcode的使用设置

ShellcodeC代码,再通过c还原的Shellcode,最后所得的shellcode没有经过绕过混淆和加密也是一样妥妥的免杀,关于c代码到shellcode的生成可以参考之前所发shellcode框架的文章。

2Beacon的免杀改进

目前主要为这两个特征:

Default.profile的特征:

CobaltStrike免杀:从便秘到舒畅

与导出函数RefletiveLoader名字,我在common/Sclisten.javaexport()方法修改了导出函数的名称:

CobaltStrike免杀:从便秘到舒畅


3.2 注意事项

1、请勿使用stageless模式,因为该模式的生成规则不相同。

2、请勿执行在该项目mimikazbypassUAC等敏感行为,因为项目中这些功能还没进行免杀处理的,以防止掉线。因此我们需要对这些功能进行重写并使其免杀。

3、项目只是修改了相应的文件,无留后门等非法行为,老哥们可以放心重打包使用,不放心也可以比对文件,最后,大家护网顺利。


----完,谢谢大家观看----

4
关注

本公众号 不定期更新 文章和视频 欢迎前来关注

CobaltStrike免杀:从便秘到舒畅



版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/483.html

发表评论

登录后才能评论
跳至工具栏