网站 › 『病毒分析区』 › 魔改CobaltStrike ：上线就跟回家一样

mai1zhi2 发表于 2021-3-25 16:23

魔改CobaltStrike ：上线就跟回家一样

本帖最后由 mai1zhi2 于 2021-3-25 16:36 编辑

一、概述
有老哥看了前几天发的便秘帖子后，说鸡哥不讲武德，shellcode没发出来，卡巴都没有过，帖子就这样结束了。这次一起奉上，CS通杀所有常见杀软上线运行，相关文件以上传到：
https://github.com/mai1zhi2/CobaltstrikeSource/

二、效果展示
2.1火绒

执行shellcode部分：



执行到反射dll:

运行上线：

火绒沦为摆设：

2.2360执行shellcode部分：

执行到反射dll:

运行上线：

360沦为摆设：

2.3腾讯管家执行shellcode部分：

执行到反射dll:

运行上线：

软件管家沦为摆设：

2.4卡巴执行shellcode部分：


执行到反射dll:

运行上线：

卡巴沦为摆设：

2.5麦咖啡执行shellcode部分：

执行到反射dll:

运行上线：

麦咖啡沦为摆设：




三、总结
3.1为什么能免杀

1、Shellcode的使用设置从Shellcode转C代码，再通过c还原的Shellcode，最后所得的shellcode没有经过绕过混淆和加密也是一样妥妥的免杀，关于c代码到shellcode的生成可以参考之前所发shellcode框架的文章。2、Beacon的免杀改进目前主要为这两个特征：Default.profile的特征：

与导出函数RefletiveLoader名字，我在common/Sclisten.java的export()方法修改了导出函数的名称：

3.2注意事项

1、请勿使用stageless模式，因为该模式的生成规则不相同。
2、请勿执行在该项目mimikaz、bypassUAC等敏感行为，因为项目中这些功能还没进行免杀处理的，以防止掉线。因此我们需要对这些功能进行重写并使其免杀。

3、项目只是修改了相应的文件，无留后门等非法行为，老哥们可以放心重打包使用，不放心也可以比对文件，最后，大家护网顺利。

----完，谢谢大家观看----

jdd2021 发表于 2021-3-27 23:04

purewine 发表于 2021-3-27 17:05
大师傅好，我这边打包你github上面 src文件夹 出来的jar好像还是原版的，其他师傅碰到过这样的问题嘛

我也是这样的

purewine 发表于 2021-3-27 17:05

大师傅好，我这边打包你github上面 src文件夹 出来的jar好像还是原版的，其他师傅碰到过这样的问题嘛

tan567421 发表于 2021-3-25 16:27

最近好多技术贴..感谢分享..收藏了呢~~

旧爱不腻 发表于 2021-3-25 16:41

人上人 发表于 2021-3-25 16:45

感谢分享！

meridian 发表于 2021-3-25 16:46

这也可以，牛

小肥元 发表于 2021-3-25 17:25

nb的。这技术学到了

太阳下的小土豆 发表于 2021-3-25 17:28

支持楼主，有你更精彩！

cnfeitian 发表于 2021-3-25 18:03

感谢分享！

liuhudu 发表于 2021-3-25 18:18

楼主的标题起的真好，看你帖子就和回家一样。

着迷59 发表于 2021-3-25 18:26

本帖最后由 着迷59 于 2021-3-25 20:01 编辑

还是强啊表哥

查看完整版本: 魔改CobaltStrike ：上线就跟回家一样