CobaltStrike(beacon.dll)功能赏析

最新推荐文章于 2025-05-08 19:02:25 发布
最新推荐文章于 2025-05-08 19:02:25 发布
阅读量803 收藏
点赞数 1
分类专栏: 恶意代码实战分析 文章标签: CobaltStrike
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/singleyellow/article/details/120831502
版权
本文详细介绍了CobaltStrike中的beacon.dll模块的功能,包括上传文件、管理服务、父进程欺骗创建子进程、调整beacon睡眠时间以及获取网络信息等。并提供了样本下载链接和其他版本的相关资源。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

beacon.dll功能概述

样本下载

其他版本功能

beacon.dll功能概述

1、上传文件

2、创建、启动、删除服务功能

3、使用父进程欺骗创建子进程

4、根据收到的数据修改beacon睡眠时间

5、获取IP地址、子网掩码地址,和对应网卡的MTU值、网卡的物理地址长度信息

等等,具体见下面伪代码:

case 1:
    sub_10005AD7(a3, len, 1);	// 线程注入
    break;
case 9:
    sub_1000597F(len, 1);		// 注入进程
    break;
case 2:
    sub_10003D37(a3);			// 通过创建创建管道向远程服务器提供反向shell(……)
    break;
case 3:
    sub_100036C7();				// 退出,修改g_dwMilliseconds时间为0
    break;
case 4:
    sub_1000374A(len);			// 根据收到的数据修改beacon睡眠时间
    break;
case 5:
    sub_100036DB(a3);			// 切换当前进程工作目录
    break;
case 10:
    sub_10003EF6((int)a3, len, "wb");	// 以写方式打开文件并写入数据
    break;
case 11:
    sub_100
了解本专栏 订阅专栏 解锁全文
CobaltStrike(beacon.dll)样本赏析
yellow的博客
02-08 2104
CobaltStrike样本特点赏析
CobaltStrike之DNS beacon
问题很多的小明
05-29 3084
DNS beacon 实际意义:红蓝对抗中,可以通过DNS的方式通信,流量更加隐秘,躲避agent/DLP的检测,实现相对隐秘的渗透方式。 环境需要: CobaltStrike + 域名 1 域名解析配置 解析过程如下: 第一步:ns1.xxxxx.com-----ns------>ns.xxxxxx.com 第二部:ns.xxxxx.com------A------->VPS地址 2 CS配置 注意:VPS防火墙53端口一定要开启 解析如下: mac:执行命令 dig +trace ns1
010.exe 病毒分析
weixin_48650826的博客
11-23 392
010.exe 64位的文件,用ida大致看了一下main函数的内容,这里是拼接字符串的内容 动态调试看一下Dest的内容 内容: \\.pipe\MSSE-1165-server 该后门创建线程,连接管道 通过VirtualAlloc分配内存空间,解密shellcode代码 在0x2C0000内存块里开始解密 jmp rcx 地址正好是我们解密的shellcode的位置 直接dump出来是一个有效的PE文件 通过调用InternetOpenA,InternetConnectA连接服务器 在
cobaltstrike相关dll组件下载仓库
gitblog_06744的博客
04-22 365
cobaltstrike相关dll组件下载仓库 【下载地址】cobaltstrike相关dll组件下载仓库 探索cobaltstrike的无限可能,这里汇集了必备的dll组件资源,助您轻松驾驭这一强大工具。无论是新手还是资深用户,都能在此找到所需组件,确保cobaltstrike功能全面发挥。下载后,按照简单指南将组件放...
cobaltstrike 相关dll组件
08-14
cobaltstrike 相关dll组件
【调试笔记】Cobalt Strike - Beacon信标快速分析
JiangBuLiu的博客
08-04 1816
流程为:宏代码释放的dll→exe加载的.dll(常见的白加黑)→解密ShellCode2的ShellCode1→ShellCode2→下载文件到本地 宏代码释放Dll1,并执行其导出函数 Dll1有80+MB没法跟: 宏代码执行Dll1的导出函数后,通过动态可以看到,最后会释放白加黑的exe和dll,所以基本不跟。 白加黑的Dll2 执行后通过VirtualAlloc申请一段内存空间,然后写入将要执行的ShellCode1。 首先在VirtualAlloc下断点,bp VirtualAlloc: 然后
CobaltStrike逆向学习系列(4)Beacon 上线协议分析
无心的博客
01-14 461
这是[信安成长计划]的第 4 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 Beacon 发送 0x02 TeamServer 处理 0x03 流程图 0x04 参考文章 在上一篇讲解 C2Profile 解析的时候,已经提到过如何断入到真正的 beacon.dll 当中,并且也清楚了它执行时的调用顺序,Beacon 上线的所有流程也都是在第二次主动调用 DLLMain 时执行的。 因为主要说明的是上线流程,功能性的暂且不提,但是中间会穿插 C2Profile 的读取操作。 0x01
CobaltStrike(beacon.dll)样本.zip
10-18
在本案例中,我们关注的是"beacon.dll"这个文件,它是CobaltStrike的一个关键组件。 "beacon.dll"是CobaltStrikeBeacon模块,这是一个动态链接库文件,通常在目标系统上注入到其他进程中以实现持久化和隐蔽性。...
CobaltStrike4.4.zip
09-15
`.cobaltstrike.beacon_keys`文件可能包含Cobalt Strike Beacon的密钥,BeaconCobalt Strike的代理组件,它在目标系统上运行,执行攻击者指示的任务。这些密钥用于加密通信,确保C2通道的安全。 `c2lint`可能是一...
Cobalt Strike 反射DLL
qq_18811919的博客
05-17 546
Cobalt Strike 反射DLL使用
内网渗透神器CobaltStrike之DNS Beacon()
xf555er的博客
11-19 1876
利用DNS隧道进行攻击的现象已存在多年,将数据封装在DNS协议中传输,大部分防火墙和入侵检测设备很少会过滤DNS流量,僵尸网络和入侵攻击可几乎无限制地加以利用,实现诸如远控、文件传输等操作DNS隐蔽隧道建立通讯并盗取数据,可轻易绕过传统安全产品,使用特征技术难以检测。广为人知的渗透商业软件Cobalt Strike和开源软件iodine、DNScat2等亦提供了现成模块,可被快速轻易地利用。
beacon.dll样本的ReflectiveLoader(x)函数
yellow的博客
02-08 1573
上次文章中shellcode解密出的pe文件,拖到PEView中又看了一遍,发现有导出表,只导出了一个函数,名字就叫_ReflectiveLoader@4,不是ida神奇,而是作者就是这样写的,这个样本的名字也应该叫做beacon.dll。如图: 至于为什么按Ctrl+E,除了入口点函数和tls回调函数,导出函数也会显示?ida就是这么认为的,它认为导出函数也是入口点, 不信的话找到一个系...
cobaltstrike相关dll组件下载仓库:便捷获取工具组件,提升使用效率
最新发布
gitblog_06732的博客
05-08 787
cobaltstrike相关dll组件下载仓库:便捷获取工具组件,提升使用效率 【下载地址】cobaltstrike相关dll组件下载仓库 探索cobaltstrike的无限可能,这里汇集了必备的dll组件资源,助您轻松驾驭这一强大工具。无论是新手还是资深用户,都能在此找到所需组件,确保cobaltstrike功能全面发...
Cobalt Strike DNS Beacon使用
2301_80127209的博客
05-07 1292
大家好,我是掌控安全-念旧,今天教大家使用Cobalt Strike建立DNS隧道需要隐蔽性需要绕过限制性网络(例如防火墙)不需要很快的响应速度响应速度慢(假设,你执行一个whoami,几分钟后才会响应回显结果,这可能会使人抓狂),和打游戏的时候 网太卡是一个道理一种“偷渡”技术,隐蔽性好,在受害主机上不会开放任何端口,可以规避防火墙,并在具有限制性出口控制的网络中建立C2通道DNS隧道的优点DNS隧道的缺点DNS隧道的适用场景。
Cobalt Strike DLL用于永恒之蓝注入
aian3941的博客
06-26 412
PDF下载:blob:https://www.52stu.org/9afe109c-f95f-4cb3-a180-90d469a1d001 我们在对存在MS17010的漏洞主机进行DLL注入的时候,一般都是用的Meataploit的msfvenom生成出来的,所以每次上线之后基本都是要经过相对比较繁琐的操作之后转到Cobalt Strike去,这样就会显得非常麻烦。 所以可以使用m...
Cobalt Strike(三)DNS beacon 的使用与原理
qq_56426046的博客
09-19 1560
dns木马因为隐蔽性好,在受害者不会开放任何端口 可以规避防火墙协议,走的是53端口 (服务器),防火墙不会拦截,缺点响应慢。
150.网络安全渗透测试—[Cobalt Strike系列]—[DNS Beacon原理/实战测试]
qwsn
03-22 2497
一、DNS Beacon原理 1、DNS Beacon简介 2、DSN Beacon工作原理 二、DNS Beacon实战测试 1、实战测试前提 2、实战测试过程
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

拜乔布斯

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值