逆向分析Cobalt Strike安装后门【附cs4.1下载】

六六传世原创文章投稿奖励计划

文章来源:安全分析与研究

Cobalt trike简介

Cobalt Strike是一款基于java的渗透测试神器,也是红队研究人员的主要武器之一,功能非常强大,非常适用于团队作战,Cobalt Strike集成了端口转发、服务扫描,自动化溢出,多模式端口监听,win exe木马生成,win dll木马生成,java木马生成,office宏病毒生成,木马捆绑;钓鱼攻击包括:站点克隆,目标信息获取,java执行,浏览器自动攻击等,至于Cobalt Strike详细怎么玩,我就不介绍了,网上很多教程,功能也很强大,我主要想从逆向的角度去分析一下Cobalt Strike安装后门的技术原理,跟踪一下它是如何与服务器进行连接,并安装Beacon后门模块的。

搭建测试境

测试环境:

1.服务端 kali  用于Cobalt Strike服务端

2.攻击机 win7  用于Cobalt Strike客户端

3.测试机 win7  测试安装Cobalt Strike的后门程序

工具

Cobalt Strike 4.1中文版

启动Cobalt Strike服务器,如下所示:

逆向分析Cobalt Strike安装后门【附cs4.1下载】

启动Cobalt Strike客户端,生成EXE后门,如下所示:

逆向分析Cobalt Strike安装后门【附cs4.1下载】

Cobalt Strike监听器的Payload可以自定义设置,我这里以Beacon HTTP为例,如下所示:

逆向分析Cobalt Strike安装后门【附cs4.1下载】

生成EXE后门之后在测试机上运行,客户端会提示有主机上线,开启beacon操作接口,如下所示:

逆向分析Cobalt Strike安装后门【附cs4.1下载】

后面就可进行各种操作了,这里就不介绍了,教程很多,也有很多不同的玩法,我主要对生成的EXE比较感兴趣,重点研究一下生成的EXE,是怎么运行的。

逆向跟踪分

1.拼接字符串,如下所示:

逆向分析Cobalt Strike安装后门【附cs4.1下载】

2.创建线程,连接管道,如下所示:

逆向分析Cobalt Strike安装后门【附cs4.1下载】

3.通过VirtualAlloc分配内存空间,解密shellcode代码,如下所示:

逆向分析Cobalt Strike安装后门【附cs4.1下载】

4.解密出来shellcode代码,如下所示:

逆向分析Cobalt Strike安装后门【附cs4.1下载】

5.跳转执行解密出来的shellcode代码,如下所示:

逆向分析Cobalt Strike安装后门【附cs4.1下载】

6.shellcode代码,加载wininet.dll,如下所示:

逆向分析Cobalt Strike安装后门【附cs4.1下载】

7.调用InternetOpenA,InternetConnectA等函数连接服务器,如下所示:

逆向分析Cobalt Strike安装后门【附cs4.1下载】

8.调用HttpOpenRequestA,HttpSendRequestA等函数向服务器发送连接请求,如下所示:

逆向分析Cobalt Strike安装后门【附cs4.1下载】

9.调用VirtualAlloc分配内存空间,存放返回的数据,如下所示:

逆向分析Cobalt Strike安装后门【附cs4.1下载】

10.通过InternetReadFile循环读取服务器返回的数据,如下所示:

逆向分析Cobalt Strike安装后门【附cs4.1下载】

11.从服务器上返回的数据,如下所示:

逆向分析Cobalt Strike安装后门【附cs4.1下载】

分析返回的数据,为Cobalt Strike反射型注入后门模块beacon.dll,如下所示:

逆向分析Cobalt Strike安装后门【附cs4.1下载】

这样beacon的后装模块就安装成功了,就是之前我们在客户端上通过beacon的后门模块进行后面的操作了。

通过动态跟踪分析发现Cobalt Strike的Revere HTTP的ShellCode执行流程,如下所示:

wininet.dll->InternetOpenA->InternetConnectA->HttpOpenRequestA->HttpSendRequestA->VirtualAlloc->InternetReadFile,反射加载执行返回的beacon.dll后门模块。

上面对Cobalt Strike的Bean HTTP Reverse的Payload的实例进行了逆向分析,其他的Payload模块可以使用相同的方法进行跟踪分析,就不做介绍了,可自行进行深入的研究,其实做安全到最后都是相通的,基础安全研究才是安全的核心。

cobaltstrike4.1 破解版,说有后门,我测试没有后门,但也不排除,最好不要在本机运行。虚拟机测试可以。

公众号【黑白之道】后台回复:“cs4.1下载20200803”

解压密码:66woool.com

本文来源安全分析与研究,经授权后由七月的肥猫发布,观点不代表六六传世网的立场,转载请联系原作者。

评论:

2 条评论,访客:0 条,站长:0 条

0%好评

  • 好评:(0%)
  • 中评:(0%)
  • 差评:(0%)
    • 张
      发布于: 

      是在公众号【黑白之道】后台回复哦

发表评论