CobaltStrike逆向学习系列(9):Bypass BeaconEye - Beacon 堆混淆

原创 已于 2022-01-26 20:47:07 修改 · 797 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#系统安全 #web安全 #安全架构 #安全

于 2022-01-21 11:14:34 首次发布
本文探讨了如何利用CobaltStrike 4.5的Sleep_Mask功能来混淆堆内存,以绕过BeaconEye检测。通过HOOK Sleep函数并模仿Beacon的操作来加密堆,同时处理线程悬挂问题,以避免异常。文章参考了官方文档和其他技术文章,展示了实现过程和最终效果。

这是[信安成长计划]的第 9 篇文章
关注微信公众号[信安成长计划]
在这里插入图片描述

0x00 目录

0x01 CS4.5 Sleep_Mask

0x02 HeapEncrypt

0x03 效果

0x04 参考文章

在之前的文章《Bypass BeaconEye》中提过了两个 Bypass BeaconEye 的方法,都是通过打乱 C2Profile 结构来做的,还有另外一种方式就是在 Sleep 的时候加密堆内存,在 CS4.5 中也对 Sleep_Mask 进行了更新

0x01 CS4.5 Sleep_Mask

根据 官网**[1] **的解释可以猜出一二

图片

增加了 HEAP_PECORDS 结构体,根据名字猜测是用来记录堆内存的,所以大概率是记录了某一部分带特征的堆内存地址,然后在 Sleep 的时候将其进行混淆,用来躲过 BeaconEye 的检测,当然也有可能是将所有申请的堆内存都混淆

最低0.47元/天 解锁文章
如何启用CobaltStrike隐藏的Sleep_mask功能
yellow的博客
07-18 848
CobatStrike的信标从4.5版本开始支持Sleep_mask功能;从4.5-4.8版本生成反射加载dll信标都会文明包含sleep_mask()函数,无论是否启用sleep_mask功能;而4.9版本不会文明包含sleep_mask()函数,只有在启用sleep_mask功能时,才会把sleep_mask()函数解密到一个单独的内存段中。
【cobalt strike手册0x06】Sleep Mask
最新发布
mashiro_hibiki的博客
07-16 564
此机制通过BeaconGate实现API调用的安全封装,在保证隐蔽性的同时维持操作稳定性,特别考虑了交互场景下的性能表现。注:此机制自4.10版本成为默认睡眠掩码功能,早期版本可通过Arsenal Kit实现。注:此机制确保Beacon退出时能安全清理内存痕迹,同时处理了不同退出方法的特殊情况。当满足以下配置时,Beacon会话通过。Sleep Mask默认执行以下操作。
Cobaltstrike bypass Defender
课嗨教育的专栏
03-16 1291
Defender一直是我们比较头疼的一个东西,相对于其他杀毒软件的可以退出关闭而言,Defender作为微软自带的一款杀毒软件,经常会在未经允许的情况下删除我们本地的东西。就很烦躁。刚好今天群里看到一篇文章,但是看着觉得眼熟,仔细看了下跟雷石以前的一篇文章很像,咱们本文就基于cs的exe马简单做个bypass defender的小总结。 参考: https://docs.microsoft.com/en-us/powershell/module/defender/remove-mpprefe...
CobaltStrike逆向学习系列(5)Bypass BeaconEye
SecSource_Stars的博客
01-10 586
这是[信安成长计划]的第 5 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 BeaconEye 检测原理 0x02 Bypass 1 0x03 Bypass 2 0x04 效果图 在之前的三篇文章《Stageless Beacon 生成流程分析》《Beacon C2Profile 解析》《Beacon 上线协议分析》中,已经穿插着将 C2Profile 的全部内容介绍完了,也把 Bypass 所需要的一些内容也都穿插着提到过了,接下来就该说如何对其进行 Bypass 0x01 Beac
CobaltStrike逆向学习系列(6)Beacon sleep_mask 分析
SecSource_Stars的博客
01-11 665
这是[信安成长计划]的第 6 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 C2Profile 分析 0x02 set userwx “true” 0x03 set userwx “false” CobaltStrike 提供了一个内存混淆功能,它会在 Sleep 的时候将自身混淆从而避免一定的检测 0x01 C2Profile 分析 因为 sleep_mask 是从 C2Profile 中设置的,所以就需要先搞清楚 TeamServer 是如何解析的 很明显它还跟其他的设置项有关,
CobaltStrike逆向学习系列(1):CS 登陆通信流程分析
无心的博客
01-14 603
这是[信安成长计划]的第 1 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 密码校验 0x02 aggressor.authenticate 0x03 aggressor.metadata 0x04 数据同步 0x05 流程图 0x06 参考文章 先统一一下后续文章所提到的一些名词,以确保大家都在聊同一个东西,文中将 CobaltStrike分为 Controller、TeamServer、Beacon 三端,本文所描述的是 TeamServer 启动之后,从 Controller 登
CobaltStrike逆向学习系列-主线篇
02-22
CobaltStrike逆向学习系列-主线篇】 在网络安全领域,CobaltStrike是一款广泛使用的渗透测试工具,尤其在红队操作和安全研究中扮演重要角色。逆向分析CobaltStrike能帮助我们深入理解其工作原理,为二次开发和...
CobaltStrike逆向分析深度探索
"CobaltStrike逆向学习系列是一份深度探讨网络安全领域的参考资料,主要针对CobaltStrike逆向工程、渗透测试和二次开发。文章涵盖了CobaltStrike的各种核心组件和流程,如登陆通信、Stageless Beacon生成、Beacon ...
taowu-cobalt-strike-master渗透测试工具包
综上所述,“taowu-cobalt-strike-master.zip”很可能包含一套定制化的Cobalt Strike辅助工具或配置文件集合,可能涉及自定义的C2 profile、payload生成脚本、日志清理模块、权限维持技术或对抗检测的混淆策略。...
动态免杀技术分析:原理、方法与实战应用
syg6921008的博客
04-05 3385
检测引擎类型描述示例技术关键词/检测手段沙箱行为分析在隔离虚拟环境运行样本,记录其系统/网络行为Cuckoo、FireEye、360沙箱虚拟化检测、延时触发、环境感知EDR 行为监控引擎实时拦截可疑行为,API hook、DLL注入监控,行为建模识别API混淆、直接系统调用、行为链拆分内存扫描引擎(Memory AV)检查 RWX 页、挂钩内存页、无签名代码、Shellcode 模板特征内存加密、动态解密、代码签名伪造调试器/脚本跟踪监控。
CobaltStrike逆向学习系列(10):TeamServer 启动流程分析
SecSource_Stars的博客
01-28 1025
这是[信安成长计划]的第 10 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 基本校验与解析 0x02 初始化 0x03 启动 Listeners 在之前的分析中,都是针对 CobaltStrike 整体通信流程的,也就忽略了中间的一些细节,其中一些细节对理解整个 CobaltStrike 也是非常重要的 0x01 基本校验与解析 先取了默认端口 接着对 Java 环境及一些参数进行了验证,并校验了 license 这里重点看一下对于参数的检测,可以看到有校验两个参数是否存在,当你
CobaltStrike逆向学习系列(7):Controller 任务发布流程分析
无心的博客
01-14 392
这是[信安成长计划]的第 7 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 Controller->TeamServer 0x02 TeamServer->Beacon 0x03 流程图 所有的任务在 Controller 处理以后,都会直接发送到 TeamServer,接着等待 Beacon 回连的时候将任务取走,文章以 shell whoami 为例 0x01 Controller->TeamServer 当在 Console 中输入命令回车后,会进入 Beaco
CobaltStrike逆向学习系列(11):自实现 Beacon 检测工具
SecSource_Stars的博客
02-03 921
这是[信安成长计划]的第 11 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 检测原理 0x02 检测方案 0x03 存在的问题 0x04 解决方案 0x05 示例代码 0x06 写在最后 年也过了,继续开始卷卷卷… 目前使用比较多的检测工具就是 BeaconEye,在之前的文章中也已经提到过它的检测原理与 Bypass 的方法《Bypass BeaconEye》《Bypass BeaconEye - Beacon 混淆》,BeaconEye 所依赖的就是 C2Profile 解析后
事件响应-工具源码学习--beaconEye扫描原理
qq_44606373的博客
02-14 1088
然后就是开始根据获取到的进程信息进行循环,遍历所有进程,跳过自身进程,对每个进程通过NewProcessScan函数初始化进程扫描相关信息,根据进程是32位还是64位选择合适的matchArray和nextArray,并调用processScan.SearchMemory函数将相关信息发送到searchIn通道,触发对该进程内存的搜索。总的原理,获取内存信息,利用sundy算法实现规则数组与内存信息的快速匹配(从文本的左端开始,将模式串与文本对齐。),从而实现C2进程的检索。方便后续在内存中进行扫描。
BeaconEye说起,围绕CS内存特征的检测与规避
dzqxwzoe的博客
08-01 755
2021年8月BeaconEye项目发布,这是一个基于CobaltStrike内存特征进行检测的威胁狩猎工具。BeaconEye具有优秀的检出率与检测效率,使大多数已有规避技术无效化,在网络安全圈内掀起了关于CS内存攻防的新一轮讨论热潮。
CobaltStrike XSS
黑剑
09-29 676
发现即使未设置 stage.sleep_mask(即设置为 false),Beacon 也会继续为睡眠掩码 BOF 保留内存。现在这个问题已经解决了。Cobalt Strike 还解决了 4.7 版本发布后不久发现的一个漏洞,以及针对 teamserver 的潜在拒绝服务攻击的缓解措施。由于在 teamserver 中发现了 XSS 漏洞,攻击者可能会通过在 Beacon 配置中设置假用户名来远程执行代码。Cobalt Strike 4.7.1 带外更新修复了 4.7 版中受影响用户报告的问题。
探照灯BeaconEye:您的CobaltStrike猎手与监控利器
gitblog_00069的博客
05-09 509
探照灯BeaconEye:您的CobaltStrike猎手与监控利器 BeaconEye 是一款强大的工具,专为检测和监控运行中的CobaltStrike信标而设计。它能深入剖析进程,寻找潜在的恶意活动,并在发现信标时跟踪其通信行为。这款工具由安全专家@EthicalChaos 创建,旨在提供对系统安全状况的深刻洞察。 项目技术分析 BeaconEye采用实时扫描和迷你转储文件分析两种模式。在实时...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值