CobaltStrike逆向学习系列(3):Beacon C2Profile 解析

最新推荐文章于 2025-07-07 13:59:09 发布
原创 最新推荐文章于 2025-07-07 13:59:09 发布 · 797 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#系统安全 #web安全 #安全

本文是CobaltStrike逆向学习系列的第三篇,主要探讨Beacon的C2Profile解析。从Controller端分析BeaconPayload.java的exportBeaconStage方法,探讨C2Profile的数据结构。在Beacon端,分析DLLMain中的C2Profile解析过程,包括内存分配、异或操作和结构体设置。解析过程中,index作为偏移定位,type决定数据处理方式。文章还展示了Controller与Beacon中C2Profile的不同形态。

这是[信安成长计划]的第 3 篇文章
关注微信公众号[信安成长计划]
在这里插入图片描述

0x00 目录

0x01 Controller 端分析

0x02 Beacon 端分析

0x03 展示图

在上一篇文章中完成了 Stageless Beacon 生成的分析,接下来就是对 Beacon 的分析了,在分析上线之前先将 C2Profile 的解析理清楚,因为 Beacon 中大量的内容都是由 C2Profile 决定的。

而且,目前 C2Profile 也是被作为检测 CobaltStrike 的一种手段,只有在理解了它的实现原理,才能真正明白检测原理和绕过方法。

0x01 Controller 端分析

直接跟到 beacon/BeaconPayload.java,看 exportBeaconStage 方法

对于前面值的获取暂时不管,直接看重点,是如何添加的,因为最后是直接把 settings 转 byte 数组,然后混淆后 Patch 的,所以就重点看一下 settings 都干了什么事

图片

看一眼 settings 的设置,可以很明显的发现四个方法 addShort、addInt、addString、addData

图片

但是可以发现 addString 根本上调用的就是 addData,所以重点就是 addSh

最低0.47元/天 解锁文章
Cobalt Strike (CS) 逆向初探
悦分享
08-03 937
当进入第三段文件执行的时候,就算是真正开始了远控文件的旅行,不过那是另一段旅程了,就不在这篇文章里写了(必经本篇篇幅已经好多)。但是,还是还是简单的把那个文件的一些分析写在下面。考虑到已经进入一个远控软件的核心功能部分,按照我的想法,为了方便,还是把内存dump下来,通过静态和动态结合的方式来。因此,祭出Scylla。首先运行到新内存区域入口处:然后点转储内存:选择所处模块的区域,转储PE,因为该修复的都修复了,所以直接转pe文件,也不同修复转储了。(后面的.mem文件要不要都无所谓了)。.........
CobaltStrike逆向学习系列(6)Beacon sleep_mask 分析
SecSource_Stars的博客
01-11 665
这是[信安成长计划]的第 6 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 C2Profile 分析 0x02 set userwx “true” 0x03 set userwx “false” CobaltStrike 提供了一个内存混淆功能,它会在 Sleep 的时候将自身混淆从而避免一定的检测 0x01 C2Profile 分析 因为 sleep_mask 是从 C2Profile 中设置的,所以就需要先搞清楚 TeamServer 是如何解析的 很明显它还跟其他的设置项有关,
c2profilejs:用于为Cobalt Strike创建C2配置文件的Web UI
05-14
C2配置文件JS :construction: :construction:正在施工:construction: :construction: 我正在更新UI的外观,因此一些组件未设置样式,但是所有功能仍然存在。 关于 C2 Profile JS是一个Web应用程序,旨在简化植入工具的C2配置文件的生成。 C2配置文件并不太复杂,但是当红色团队需要即时适应BLUEFOR时,时间是至关重要的因素。 C2配置文件JS可以缩短C2配置文件的周转时间,并减少出错的机会。 依存关系 发展 Nodejs的 Java 生产 码头工人 如何 最好通过docker容器hattmo / c2profilejs使用C2配置文件。 docker run --rm -d -p 3000:80 --name c2profilejs hattmo/c2profilejs:latest 然后导航到开始使用该工具。 可以使用以下命令从源代码构建和运行C2 Profile JS npm install npm run
逆向分析Cobalt Strike安装后门
pandazhengzheng的博客
02-23 1634
逆向分析Cobalt Strike安装后门
CobaltSrtike Malleable C2 Profile编写
qq_45434762的博客
06-17 2358
什么是 Malleable C2 ProfileMalleable C2 Profile是一个可以控制CobaltStrike流量特征的文件,可以通过修改配置文件来改变流量特征,从而躲避各...
Cobalt Strike‘s Malleable C2 Profiles
最新发布
信息安全老员工博客
07-07 1713
stage {stringw 是宽字节字符串配置项示例描述checksum0PE头里checksum的值cleanupfalse尝试释放反射加载的dll的内存PE头里的编译时间92145PE头里的入口点512000x64 PE头里写的镜像大小512000x86 PE头里写的镜像大小module_x86加载一个dll,然后用beacon去覆盖这个dll,而不是用VirtualAlloc去分配内存module_x64同上,但是这个是针对x64的name。
精选资源
CobaltStrike逆向学习系列-主线篇
02-22
CobaltStrike逆向学习系列-主线篇】 在网络安全领域,CobaltStrike是一款广泛使用的渗透测试工具,尤其在红队操作和安全研究中扮演重要角色。逆向分析CobaltStrike能帮助我们深入理解其工作原理,为二次开发和...
CobaltStrike逆向学习系列(4)Beacon 上线协议分析
SecSource_Stars的博客
01-10 440
这是[信安成长计划]的第 4 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 Beacon 发送 0x02 TeamServer 处理 0x03 流程图 0x04 参考文章 在上一篇讲解 C2Profile 解析的时候,已经提到过如何断入到真正的 beacon.dll 当中,并且也清楚了它执行时的调用顺序,Beacon 上线的所有流程也都是在第二次主动调用 DLLMain 时执行的。 因为主要说明的是上线流程,功能性的暂且不提,但是中间会穿插 C2Profile 的读取操作。 0x01
CobaltStrike逆向学习系列(9):Bypass BeaconEye - Beacon 堆混淆
SecSource_Stars的博客
01-21 797
这是[信安成长计划]的第 9 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 CS4.5 Sleep_Mask 0x02 HeapEncrypt 0x03 效果 0x04 参考文章 在之前的文章《Bypass BeaconEye》中提过了两个 Bypass BeaconEye 的方法,都是通过打乱 C2Profile 结构来做的,还有另外一种方式就是在 Sleep 的时候加密堆内存,在 CS4.5 中也对 Sleep_Mask 进行了更新 0x01 CS4.5 Sleep_Mask 根据
CobaltStrike逆向学习系列(15):CS功能分析-BOF
SecSource_Stars的博客
02-22 985
这是[信安成长计划]的第 15 篇文章 0x00 目录 0x01 BOF功能分析 0x02 BOF功能执行 0x03 写在最后 其实在看过 RDI 与 DotNet 功能执行之后,BOF 的执行基本就不用再说了,唯一需要提及的可能就是它所包含的技术,而且相关的文章和代码也都很丰富了 0x01 BOF功能分析 在 CS 中,有相当一部分功能都是 BOF 形式的,我们随意选择一个 它继承了 PostExInlineObject 类,需要自己实现的并不多,但实际上,一些函数还是自己实现的好 在实际调用的时候,
random_c2_profile:Cobalt Strike随机C2配置文件生成器
04-06
随机C2配置文件生成器 Cobalt Strike随机C2配置文件生成器 作者:Joe Vest(@joevest) 该项目旨在基于上的参考配置文件生成可延展的c2配置文件。 !! 这不是故意要生产的 !! 生成的配置文件旨在用于测试变化 !! 参考资料的。 概述 该项目旨在快速生成randome c2配置文件。 它基本上是一个带有随机变量的Jinja模板。 认为这是上的参考资料的随机版本。 还有其他一些C2配置文件生成器可能更适合生产,例如 使用前应注意的重点 暂存默认情况下处于禁用状态 这确实利用了参考配置文件中的其他良好实践,但是增加了随机性(这就是创建项目的原因) 不使用配置文件变体(请参阅配置文件变体-https: ) URI和DNS主机不要花哨,它们是使用单词列表中的随机单词构建的。 设置在整个教授中是一致的。 每个只是随机的。 设置 这是使用python3设计
CobaltStrike逆向学习系列(1):CS 登陆通信流程分析
SecSource_Stars的博客
01-10 569
这是[信安成长计划]的第 1 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 密码校验 0x02 aggressor.authenticate 0x03 aggressor.metadata 0x04 数据同步 0x05 流程图 0x06 参考文章 先统一一下后续文章所提到的一些名词,以确保大家都在聊同一个东西,文中将 CobaltStrike分为 Controller、TeamServer、Beacon 三端,本文所描述的是 TeamServer 启动之后,从 Controller 登
CobaltStrike逆向学习系列(2):Stageless Beacon 生成流程分析
SecSource_Stars的博客
01-10 869
这是[信安成长计划]的第 2 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 Patch Beacon 0x02 Patch Loader 0x03 文件对比 0x04 流程图 CobaltStrikeBeacon 生成分为两种,Stage Beacon 和 Stageless Beacon,这次主要来说明的是无阶段的 Stageless Beacon,最终文件比较大,不用从网络中来拉取。 本文的分析流程使用的 payload 是 windows/beacon_http/rever
网络安全进阶篇之流量加密(十三章-3)CS生成ssl证书修改c2 profile 加密流量逃逸检测
划水的小白白
05-19 4113
文章目录零、为什么要对CS进行流量加密一、 生成免费的 ssl 证书二、 创建并修改 C2-profile 文件三、 检测 C2 profile 文件是否可用四、 配置 teamserver 文件运行上线五、 抓取流量 零、为什么要对CS进行流量加密 cobalt strike 是很多红队的首选的攻击神器,在 APT 方面近几年应用范围很广, 很多著名的团队都曾使用这个工具进行 APT,效果显著。 导致很多 ids 入侵检测工具和流量检测工具已经可以拦截和发现, 特别是流量方面,如果使用默认证书进行渗
CobaltStrike逆向学习系列(11):自实现 Beacon 检测工具
SecSource_Stars的博客
02-03 921
这是[信安成长计划]的第 11 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 检测原理 0x02 检测方案 0x03 存在的问题 0x04 解决方案 0x05 示例代码 0x06 写在最后 年也过了,继续开始卷卷卷… 目前使用比较多的检测工具就是 BeaconEye,在之前的文章中也已经提到过它的检测原理与 Bypass 的方法《Bypass BeaconEye》《Bypass BeaconEye - Beacon 堆混淆》,BeaconEye 所依赖的就是 C2Profile 解析
cobalt strike生成证书修改C2 profile流量加密混淆
干铮的博客
03-15 4306
C2 profile流量加密混淆 生成证书修改C2 profile加密混淆实际上就是对流量加密传输,目的是为了逃逸安全审计,穿透检测器。 生成免费的ssl证书 在运行cobalt strike 默认使用的cobaltstrike store证书,生成新证书的意义是将使用我们现在的制定好的证书。默认的证书cobalt strike会被检测。 keytool -genkey -alias wkk -keyalg RSA -validity 36500 -keystore wkk.store wk
探索CrossC2-C2Profile:智能配置管理的新里程
gitblog_00037的博客
04-04 445
探索CrossC2-C2Profile:智能配置管理的新里程 项目简介 在软件开发中,配置管理是至关重要的一个环节,它决定了系统的行为和性能。 是由Richard Tang创建的一个开源项目,旨在提供一种灵活且强大的跨平台配置文件管理工具。借助此项目,开发者可以更高效地管理和共享复杂的配置数据,无论是在本地还是远程环境中。 技术分析 核心特性 跨平台 - CrossC2-C2Profile 支...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值