CobaltStrike逆向学习系列(6):Beacon sleep_mask 分析

最新推荐文章于 2025-07-16 19:27:27 发布
原创 最新推荐文章于 2025-07-16 19:27:27 发布 · 665 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#系统安全 #web安全 #安全

本文是CobaltStrike逆向学习系列的第六篇,主要分析了C2Profile中的sleep_mask设置,探讨了其如何影响内存混淆。当set userwx为“true”时,CobaltStrike会混淆text段,通过CryptoAPI或自定义算法生成密钥进行加解密。而在set userwx为“false”时,text段不会混淆,保持原始状态。通过对混淆前后Sleep和接收命令时的代码段状态对比,展示了sleep_mask功能的实际效果。

这是[信安成长计划]的第 6 篇文章
关注微信公众号[信安成长计划]
在这里插入图片描述

0x00 目录

0x01 C2Profile 分析

0x02 set userwx “true”

0x03 set userwx “false”

CobaltStrike 提供了一个内存混淆功能,它会在 Sleep 的时候将自身混淆从而避免一定的检测

0x01 C2Profile 分析

因为 sleep_mask 是从 C2Profile 中设置的,所以就需要先搞清楚 TeamServer 是如何解析的

图片

很明显它还跟其他的设置项有关,这里我们重点关注一下 rwx 的设置

图片

首先会将 text 段的结尾地址存储到 index=41 的位置

图片

接着判断了 text 段与 rdata 段中间的空白位置够不够 256 个字节,推测会将加解密函数放在这里

最低0.47元/天 解锁文章
Cobalt Strike (CS) 逆向初探
悦分享
08-03 937
当进入第三段文件执行的时候,就算是真正开始了远控文件的旅行,不过那是另一段旅程了,就不在这篇文章里写了(必经本篇篇幅已经好多)。但是,还是还是简单的把那个文件的一些分析写在下面。考虑到已经进入一个远控软件的核心功能部分,按照我的想法,为了方便,还是把内存dump下来,通过静态和动态结合的方式来。因此,祭出Scylla。首先运行到新内存区域入口处:然后点转储内存:选择所处模块的区域,转储PE,因为该修复的都修复了,所以直接转pe文件,也不同修复转储了。(后面的.mem文件要不要都无所谓了)。.........
如何启用CobaltStrike隐藏的Sleep_mask功能
yellow的博客
07-18 843
CobatStrike的信标从4.5版本开始支持Sleep_mask功能;从4.5-4.8版本生成反射加载dll信标都会文明包含sleep_mask()函数,无论是否启用sleep_mask功能;而4.9版本不会文明包含sleep_mask()函数,只有在启用sleep_mask功能时,才会把sleep_mask()函数解密到一个单独的内存段中。
CobaltStrike逆向学习系列(9):Bypass BeaconEye - Beacon 堆混淆
SecSource_Stars的博客
01-21 797
这是[信安成长计划]的第 9 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 CS4.5 Sleep_Mask 0x02 HeapEncrypt 0x03 效果 0x04 参考文章 在之前的文章《Bypass BeaconEye》中提过了两个 Bypass BeaconEye 的方法,都是通过打乱 C2Profile 结构来做的,还有另外一种方式就是在 Sleep 的时候加密堆内存,在 CS4.5 中也对 Sleep_Mask 进行了更新 0x01 CS4.5 Sleep_Mask 根据
Cobalt Strike使用教程——基础篇
Captain_RB的博客
06-10 2万+
本文主要介绍 **Cobalt Strike** 4.3 的基本功能及使用方法
CobaltStrike逆向学习系列-主线篇
02-22
CobaltStrike逆向学习系列-主线篇】 在网络安全领域,CobaltStrike是一款广泛使用的渗透测试工具,尤其在红队操作和安全研究中扮演重要角色。逆向分析CobaltStrike能帮助我们深入理解其工作原理,为二次开发和...
CobaltStrike逆向分析深度探索
"CobaltStrike逆向学习系列是一份深度探讨网络安全领域的参考资料,主要针对CobaltStrike逆向工程、渗透测试和二次开发。文章涵盖了CobaltStrike的各种核心组件和流程,如登陆通信、Stageless Beacon生成、Beacon ...
日志追踪黑科技:用ESP_LOG宏精准定位Wi-Fi模块异常的7个技巧
!...# 1. 日志追踪在嵌入式开发中的核心价值 在嵌入式系统开发中,尤其是基于ESP32等资源受限的实时环境中,调试手段有限,传统断点调试难以适用。日志追踪成为开发者洞察系统行为、定位异常状态的核心工具。...
Cobaltstrike学习(二)beacon命令
kang_12358的博客
07-20 6824
Cobaltstrike学习(二)beacon命令 1.Beacon命令 在已经上线的服务器上右击==>打开Beacon,在里面可以执行各种命令 在cs中默认的心跳时间是60s,我们可以用sleep 命令来更改心跳时间(心跳时间是指上线的服务器和cs服务器的通信时间) 心跳时间很长就会响应的时间很慢,但也不能设置的很短,不让很容易会被监测到与cs通信的流量,具体多少可以根据测试环境自己来设置。 在Beacon中执行cmd命令时需要在前面加上shell,例如:shell whoami.
Cobalt Strike最实用的24条命令(建议收藏)
Ms08067安全实验室
12-12 2739
点击星标,即时接收最新推文Cobalt Strike的基本命令1.help命令在Cobalt Strike中,help命令没有图形化操作,只有命令行操作。在Cobalt Strike中,输入“help”命令会将Beacon的命令及相应的用法解释都列出来,输入“help 命令”会将此命令的帮助信息列出来,如图所示。help命令2.sleep命令单击右键,在弹出的快捷菜单中选择“Session”"“...
【cobalt strike手册0x06Sleep Mask
最新发布
mashiro_hibiki的博客
07-16 562
此机制通过BeaconGate实现API调用的安全封装,在保证隐蔽性的同时维持操作稳定性,特别考虑了交互场景下的性能表现。注:此机制自4.10版本成为默认睡眠掩码功能,早期版本可通过Arsenal Kit实现。注:此机制确保Beacon退出时能安全清理内存痕迹,同时处理了不同退出方法的特殊情况。当满足以下配置时,Beacon会话通过。Sleep Mask默认执行以下操作。
malleable_profile文件配置概述
热门推荐
Shanfenglan's blog
08-04 35万+
参考:Cobalt Strike Malleable C2 配置 通用知识概述 上面四条叫做终止语句。作用是将数据存储到不同的地方,由上到下依次为http头,get请求中,http body中,url中。 上图为数据转换语言。就是将传输的数据进行格式的转化。其中append与prepend是可以混合使用的,例如在真正的数据前后分别加上干扰数据,这样子能一定程度隐藏数据。 netbios是smb传输的时候根据主机名的编码方式,mask为异或,base64url编码后的数据是可以直接放在url中的
CobaltStrike XSS
黑剑
09-29 674
发现即使未设置 stage.sleep_mask(即设置为 false),Beacon 也会继续为睡眠掩码 BOF 保留内存。现在这个问题已经解决了。Cobalt Strike 还解决了 4.7 版本发布后不久发现的一个漏洞,以及针对 teamserver 的潜在拒绝服务攻击的缓解措施。由于在 teamserver 中发现了 XSS 漏洞,攻击者可能会通过在 Beacon 配置中设置假用户名来远程执行代码。Cobalt Strike 4.7.1 带外更新修复了 4.7 版中受影响用户报告的问题。
逆向分析Cobalt Strike安装后门
pandazhengzheng的博客
02-23 1633
逆向分析Cobalt Strike安装后门
自写C2,补充大脑营养,促进骨骼生长
UUniversity的博客
12-16 1337
Cobalt Strike 是目前使用人数最多的C2框架。然而这使得它备受各大安全厂商的和。在大多数环境中,不更改默认设置是行不通的,因为这会立即被检测到。1.将Malleable C2 配置文件中的选项设置为 false。这将阻止 Cobalt Strike 在其 Web 和 DNS 服务器上托管有效载荷阶段。这样做对 OPSEC 有很大好处。启用暂存后,任何人都可以连接到您的服务器,请求有效载荷并分析其内容以从您的有效载荷配置中查找信息。
Cobalt Strike 可持续后门的使用(子篇9)
yyj1781572的博客
11-23 785
Cobalt Strike 可持续后门的使用
渗透工具之CS4.0使用说明书
m0_59991869的博客
10-14 5080
CS4.0使用说明书 目录 安装 使用 运行 监听器 listner 使用 不同监听介绍 木马 生成后门 钓鱼攻击 邮件钓鱼 功能 上部选项栏 下部工具栏 beacon的使用 会话功能 安装使用 安装 系统环境:需要java环境Oracle Java 1.8,Oracle Java 11 下载解压就可以使用 使用 首先要运行服务端,如果你有个外网的机器,可以把服务端运行于外网的机器上,也可以运行于本地 服务端启动命令 windows 运行teamserver
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值