魔改CobaltStrike:命由己造(上)
本帖最后由 mai1zhi2 于 2021-5-28 07:33 编辑一、 概述
这次我们来探究beacon里每个功能点是如何实现的,以便日后更好的实现自定义beacon。因为有近百个相关功能点,所以文章分了上下部分。
项目地址如下:https://github.com/mai1zhi2/CobaltstrikeSource
二、 前情提要
我们从上篇协议剖析得文章中知道当beacon发送心跳包后,teamserver会返回相应得任务号,并返回相应得任务信息,beacon接收到任务信息后,会进入循环处理:
在AllCase_10007F19()里面就是beacon得全部命令功能,我们按反编译循环中的case号从低向高写,case号与发送数据包的任务号是大同小异的。
三、 主要功能
spawn(x86)
case 1,派生会话,原理是挂起方式启动rundll32并注入dll:
以挂起方式启动rundll32.exe:
使用VirtualAllocEx()在目标rundll32进程申请内存空间:
WriteProcessMemory()在申请的内存空间写入dll:
注意输入的标志0x00000004CREATE_SUSPENDED:
使用VirtualProtectEx()设置内存属性,PAGE_EXECUTE_READWRITE
设置context上下文,并恢复线程:
exit
退出case 3,Exit退出功能,修改dwMilliseconds时间为0:
如果为0就调用sub_10009BB0()退出程序:
Sleep
case 4,设置beacon睡眠时间接收数据包,取得修改的时间并进行修改dwMilliseconds
Cd
切换目录case5,切换目录使用SetCurrentDirectory切换当前进程的当前工作目录。
Inject (x86)
case 9,指定已打开进程来注入会话,原理就是远程线程注入,dllinject、shinject之类也会走这个case 。先用openprocess()打开目标进程:
目标申请空间后写入dll文件:
最后调用CreateRemoteThread()进行远程线程注入:
Upload
上传文件case 10 ,upload上传文件,
首先分割teamserver回传的数据,得到上传的文件名,然后wb模式打开文件:
然后获得数据长度和内容,调用fwrite写入:
download 下载文件
case 11,download 下载文件,先分割数据包获得需要下载的文件名,然后打开文件,不断读取文件内容,然后加密返回给teamserver:
execute
执行程序case 12 ,execute 执行程序,但不回显
直接使用createprocess()启动相应进程:
Spawnto (x86)
case 13,spawnto,设置Beacon派生会话时使用的程序
当再执行spawn时,会判断启用哪个程序进行注入,而不是再注入默认的rundll32.exe:
端口转发数据回传(没有命令参数) case 15,case 16,是没有命令参数,是与rportfwd端口转发相关的case ,首先接收到访问目标机器的请求信息:
然后发送给目标机器,然后中转机通过select模型等待信息返回,最后把rportfwd端口转发的信息返回:
desktop VNC
case 18,远程桌面,x86 desktopVNC远程桌面(不注入进程),需要由vnc的dll,不建议用,有点卡
download_cancel
case 19,取消相关下载文件,命令beacon取消相关的文件下载:
中转子beacon所发送的数据(没有相关命令参数)
case 22,没有相关命令行,负责中转子beacon的传输数据:
Unlink
case 23,调用shutdow()断开与子Beacon的连接
Getuid
case27,获取当前令牌关联的用户ID使用GetTokenInformation检索令牌信息和LookuoAccountSid获取令牌SID:
最后拼接输出:
rev2self
case 28,恢复Beacon原始令牌调用RevertToSelf()终止当前用户标识的模拟并返回原始线程标记:
steal_token
case 31,从目标进程中窃取访问令牌先打开进程,获取指定进程的句柄令牌,再用ImpersonateLoggedOnUser模拟一个登陆用户的访问令牌的安全上下文,最后用DuplicateTokenEx拷贝一个当前令牌相同权限的令牌
ps
case 32,显示进程列表使用CreateToolhelp32Snapshot()、Process32Next()相关函数遍历系统进程信息,然后进行发送给服务器:
Kill
case 33,结束指定进程调用TerminateProcess()结束指定进程:
powershell-import
case 37,导入Powershell脚本导入相关的ps脚本(如nishang)以便后续调用
Runas
case 38,以其他用户权限执行程序调用CreateProcessWithLogonW()函数,以某用户身份执行指定程序
Pwd
case 39,显示当前所在目录直接用GetCurrentDirectoryA()得到当前目录并返回:
Job执行后数据的回传(没有相关命令)
执行后数据的回传case 40,当job执行后产生数据会用管道回传给beacon:
Createfile()创建管道:
SetNamedPipeHandleState()设置管道PIPE_READMODE_BYTE模式:
调用PeekNamedPipe()读取管道内的数据:
Jobs
case 41,查看Beacon中的所有任务,在list读取后台进行中的任务
jobkill
case 42,结束一个在后台运行调用DisconnectNamedPipe()与后台进程终止链接:
Inject(x64)
case 43,指定已打开进程来注入会话,原理就是远程线程注入,dllinject、shinject之类也会走这个case ,流程与case 9一样。
Spawn (x64)
case 44,派生会话 (x64),原理也是挂起线程rundll32线程注入dll,流程都是一样的,只是在不同文件夹在rundll32.exe
X64注入进程的desktop
case 45,x64 desktopVNC远程桌面(注入进程),需要由vnc的dll,不建议用,有点卡
X86 注入进程的desktop
case 46,x86 desktopVNC远程桌面(注入进程),需要由vnc的dll,不建议用,有点卡
Pause
case 47,暂停,当执行到某些任务(如注入扫描dll)时beacon会主动暂停一秒左右:
Make_token
case 49, 创建令牌使用GetTokenInformation检索令牌信息和LookuoAccountSid获取令牌SID:
三、 小结
在这里我们分析beacon的约前50项功能,一探其相关功能的实现,为日后重写beacon有所帮助,下次我们继续分析后50项功能。最后谢谢大家观看。 case 46 和case 45的配图一样,case18也是描述为x86 desktopVNC远程桌面(注入进程),需要由vnc的dll,所以这几个是没有错的吗? 鸡哥NB,高产似母鸡{:1_921:} 多谢楼主的分享,学习过 {:301_1008:}我跟不上节奏了,鸡哥你慢点不行吗 谢谢楼主分享,支持一下。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 除了膜拜真的是无法用任何语言表达我的心情 懂了 打算自己试试 鸡哥牛逼!!! aaa太多啦呀,菜鸡都看不进去了。。 感谢分享