Cobaltstrike 魔改需要改哪些

已于 2024-10-03 10:48:24 修改
阅读量1.2k 收藏 3
点赞数
CC 4.0 BY-SA版权
分类专栏: 免杀 文章标签: 安全 golang 开发语言
于 2021-11-28 20:40:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/SHELLCODE_8BIT/article/details/121597311
本文探讨了CobaltStrike的相关内容,包括默认证书、shellcode生成、安全软件查杀情况,以及如何识别和规避恶意CobaltStrike服务器。同时,文章深入研究了内存特征检测、主动防御方法,并提到了一些开源工具和技术,如INT2ECALL/GPUSleep用于将CS Beacon移动到GPU内存中以避免检测。此外,还分享了关于CobaltStrike的检测方法和去特征化的思考。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.上线的默认证书

2.生成出的shellcode

3.defender查杀截图

4.kaspersky 查杀shell运行

5.主动防御之——如何识别恶意Cobalt Strike服务器

6.关于Cobalt Strike检测方法与去特征的思考 - FreeBuf网络安全行业门户.

7.从BeaconEye说起,围绕CS内存特征的检测与规避

8.INT2ECALL/GPUSleep: Move CS beacon to GPU memory when sleeping (github.com)

9.https://www.wangan.com/p/7fy74727d2f60d4f

10.https://github.com/EgeBalci/sgn 

渗透测试|简单二开geacon之适配cs4.x跨平台上线linux和mac[一]-腾讯云开发者社区-腾讯云

https://github.com/darkr4y/geacon/tree/master

https://github.com/testxxxzzz/geacon_pro

CobaltStrike:二开及后门生成分析
mai1zhi2的博客
04-21 3697
一、概述: 这次文章主要介绍下Cobalt Strike 4.1相关功能的二开和后门(artifact.exe\beacon.exe)的生成方式,Cobalt Strike的jar包我已反编译,并了下反编译后的bug,teamserver与agressor均能正常调试使用,附反编译后项目地址: https://github.com/mai1zhi2/CobaltstrikeSource 。若有不对的地方希望大伙指出,谢谢。后续将会再分享通讯协议与自定义客户端(后门)。PS:感谢Moriarty的分享课。
巨龙拉冬:让你的Cobalt Strike变成超级武器
K8哥哥
10-24 4885
Cobalt Strike巨龙拉冬插件9.0发布,让大家久等了,就当是程序员节礼物。原计划是Ladon8.0的时候出的,当时也实现了部份功能,但因为放在虚拟机里,可能误删了没备份,也因为各种事懒得重写,拖着拖着Ladon已出到9.0了,也想国庆写,但国庆又想上王者,于是又拖到最近两天才重写插件,CS右键已实现90%的功能部分功能请先在Beacon命令行使用。巨龙拉冬中文插件和Ladon英文插件的区别是右键菜单功能更全,英文的菜单让很多不熟的人,误以为Ladon并没让CS加强多少功能,而有些知道Ladon功.
红队笔记之CobaltStrike4.4源码修方法
明光札记
12-04 7980
文章目录CobaltStrike4.4反编译的几个思路方法一:利用动态编程完成源码的修方法二:借助反编译工具先反编译再进行编译方法三:借助原有jar与反编译源码修并编译代码CobaltStrike4.4源码修方法步骤简介具体步骤利用反编译工具逆向出源码新建工程引入逆向源码与原有jar包修源码并重新打包 本文将介绍笔者对于CobaltStrike4.4几种反编译方法的思考以及具体修方法,修CobaltStrike主要为了修和隐藏CobaltStrike4.4的特征,防止在攻防过程中被限制防火.
2025最新 Kali Linux 定制化,完整版,添加常见60渗透工具,零基础入门到精通,收藏这篇就够了
logic1001的博客
04-22 823
下载链接imgimgimgimgimg。
Cobalt Strike 4.9
剁椒鱼头没剁椒的博客
10-10 5343
CS 是Cobalt Strike的简称,是一款渗透测试神器,常被业界人称为CS神器。Cobalt Strike已经不再使用MSF而是作为单独的平台使用,它分为客户端与服务端,服务端是一个,客户端可以有多个,可被团队进行分布式协团操作。CobaltStrike集成了端口转发、扫描多模式端口Listener、Windows exe程序生成、Windows dll动态链接库生成、java程序生成、office宏代码生成,包括站点克隆获取浏览器的相关信息等。
SecondaryDevCobaltStrike:二次开发过后的CobaltStrike,版本为4.1.在原来CobaltStrike的基础上修多处特征,解决流量查杀问题
04-16
先赞后看,已成习惯.如有后门,我必完蛋:star: 关于二次开发后的CobaltStrike 默认的CobaltStrike内存在多处流量特征,在马儿与服务端建立连接时进行流量交互.此间存在多处可疑特征已被各大杀软记录在册 如:卡巴斯基,诺顿,迈克菲等,但国内杀软并无此功能. 所以在客户端进行免杀的同时服务端在流量交互方面也需要特征去除,才产生了二次开发CobaltStrike. 此次二开为CobaltStrike4.1版本. 效果截图 迈克菲截图 卡巴斯基截图 诺顿截图 注:所有的CobaltStrike上线未被查杀都基于客户端的马儿未被AV静态查杀的前提下,达到了动态免杀. 使用方法 1.将cobaltstrike.jar文件替换服务端的原有jar 2.将cobaltstrike.jar文件替换客户端的原有jar 3.请确保服务端或客户端的Java环境在Jdk10以上(包含JDK10) 使用中
Cobalt Strike二开&&免杀
最新发布
chinese_cabbage0的博客
06-26 1055
32px,logo是256。
Cobalt Strike 4.8 Full Black Edition
06-23
在深入探讨Cobalt Strike 4.8的知识点之前,需要明确一点:它主要用于合法的安全测试,而不是非法入侵活动。使用此工具进行未经授权的活动是违法的,并可能导致严重的法律后果。 **Cobalt Strike的核心组件和功能**...
Cobaltstrike来源:Cobaltstrike4.1来源
03-04
钴打击源 Cobaltstrike4.1来源这是反编译后的Cobaltstrike4.1源码,修了一点反编译后的bug,teamserver与agressor均能正常调试使用,若想自己修调试...这是Cobaltstrike4.1系列的帖子,若有错误请指出,谢谢:
CS—流量特征消除&暗桩去除&个性化修&Stager修
2301_76227305的博客
02-19 999
这里只尽量去除了流量的特征,并没有做免杀,一开是时想搞的,但是感觉有点麻烦,还不如你生成出来再做免杀呢,生成即免杀听起来不错,但是感觉没有必要。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
[原创]CobaltStrike & Metasploit Shellcode一键免杀工具
weixin_30686845的博客
01-12 1572
CobaltStrike & Metasploit Shellcode一键免杀工具 作者: K8哥哥 图片 1个月前该工具生成的exe免杀所有杀软,现在未测应该还能过90%的杀软吧。 可选.net版本为系统安装对应版本,1.0仅支持.net EXE生成。 后续版本不一定公开,望大家见谅,有兴趣的自行反编译生成的exe就知道怎么弄了。 注意: 一定要使用无后门特征的C...
2024最新Kali Linux定制化完整版,添加常见60多种渗透工具,轻松带你黑客技术零基础入门!
A1353192296的博客
11-29 1463
在很早之前就听kali linux鼎鼎大名的黑客系统集成了600多种黑客工具,黑客榜首系统,然后在高中就逼迫自己使用kali linux系统作为自己物理的主力系统使用,哎呀!主要还是逼迫自己学习linux然后接触arch中间使用一段时间,最后又换回来 kali 系统,很多人说arch系统是比kali 或者Ubuntu好用,怎么说呢各有优缺点吧,arch个人定制化很强什么都要自己安装,搜索linux相关问题基本上都是arch的文档。
Cobalt Strike(CS)流量分析
小千安全
04-21 8463
为了识别 Cobalt Strike 生成的 HTTPS 流量,可以收集不同 TLS 实现的 JA3S 值,构建 JA3S 签名库,并结合其他特征和行为进行综合分析和判断。同时,反编译CS的源代码也可以得知,92L对应于x86位的木马,而93L对应于x64位的后门。在 HTTPS 协议的 Client Hello 和 Server Hello 阶段,都包含了 JA3S 值传输过程过程中会有 ja3,这个值在系统上是固定的,win10是一种的 但win11是另一种 他们取决于操作系统。
Cobalt Strike 4.8 用户指南-第十六节 附录
YJ_12340的博客
12-20 861
将数字 0-127 映射为 US ASCII 和将 128-255 映射为漂亮的方框图字符的常用编码有一个名字。一种语言的 ANSI 编码放弃了漂亮的方框图字符,转而使用在该编码所设计的语言中有用的字符。较罕见的字符用四个字节表示。Cobalt Strike 的 Beacon 会报告目标的 ANSI 和 OEM 编码,作为会话元数据的一部分。Cobalt Strike -> Preferences -> Graph中有一个字体选项,可以更 Cobalt Strike 的数据透视图使用的字体。
Cobalt Skrike 4.9.1流量混淆基础
Aa2428259602的博客
11-26 587
新版本的cs可能问题补充
黑客必备利器:如何在kali系统上安装和使用 CobaltStrik4.8
2301_76332302的博客
08-27 6806
与外部beacon类似,内部beacon是指潜伏在目标系统内部的小型程序或代码片段,定期与命令和控制(C2)服务器进行通信,以提供有关目标系统的信息或接收进一步的指令。内部beacon主要用于网络安全领域中进行威胁侦测和入侵检测。Beacon DNS:Beacon DNS是指通过DNS协议进行通信的beacon。攻击者可以使用DNS流量来与受感染系统进行通信,并通过DNS查询和响应中隐藏恶意指令或数据。Beacon HTTP:Beacon HTTP是指通过HTTP协议进行通信的beacon。
Cobalt Strike详细使用教程
小小猪的博客
12-16 7426
Cobalt Strike详细使用教程 Cobalt Strike安装教程这里就不在赘述了 Cobalt Strike安装教程 监听器 listner: 创建监听器 Add 添加新的监听 edit 编辑已有监听 remove 删除监听 restart 重启监听 要添加监听器可以点击Add,这里的监听器根据所通过的协议和监听器位置分为8种 不同监听介绍: 1.beacon dns 2.beacon http 3.beacon https 4.beacon smb 5.bea..
二次开发环境_CobaltStrike二次开发环境初探
weixin_30717229的博客
12-14 1418
这是酒仙桥六号部队的第124篇文章。全文共计2938个字,预计阅读时长9分钟。在我们使用cobaltstrike的过程中,会涉及到二次开发,从而使其功能上更加的健壮,不至于碰到杀软就软了的地步,本文从cobaltstrike的快速反编译到二次开发环境的准备作为二次开发cobaltstrike的起步。IntelliJ IDEA自带了一个反编译java的工具,有时候我们需要对coba...
实战shell免杀&C2远控&工具(免杀日记 - 上篇)
guanjian_ci的博客
06-05 7850
1、上面实验内容并不多,但是工具的使用、环境的安装、代码的排错够新手玩上几天了。2、绕过杀毒软件的本质就是防止被杀毒库匹配,代码、工具指纹等等!3、一个好的免杀,一定具备了多方面的性能:防杀软、绕过流量平台、防沙箱、防逆向调试后依然能够正常运行上线!4、此文章分上 、 中 、下,未完待续... ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

信安成长日记

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值