通过替换 cobaltstrikes 中自带 loader 进行免杀
原因
对于由CobaltStrike生成的工件,我们常用的方法是生成shellCode,然后实现一个加载程序以您自己加载shellcode。当我阅读钴型代码以生成工件时,我认为该方法非常有趣。作者首先写了一个加载程序,然后通过将生成的壳码修补到加载程序中来生成工件。为了杀死软静态检查该病毒,第一件事是找到ShellCode的特征点和伪影模板的特征点。因此,如果我们自己编写一个装载机来替换cobaltstrike随附的装载机,则可以实现无杀伤的效果。
本文的重点不是要夸大软弱,而是只是概念证明。所用的技术是自己实施加载程序,然后简单地将壳码绕过弹壳的特征检测和杀死。
工具介绍
Web Dogs总是对二进制好奇。阅读钴ststrike时学会的伪像的方式。该软件仅用于概念证明。我复制了许多CS的源代码,主要是因为我认为补丁的形式非常有趣。撰写第二篇文章时,源代码将一起上传到GitHub。罐装包装可以自行分解而不会混淆。我将首先尝试一下,请参考源代码并自己编写加载程序,替换资源/artifact.exe让cobaltstrike生成的trifact.exe默认情况下没有杀死。
选择脚本控制台
然后输入:
1
X变换(shellCode('您的侦听器名称','x86',false),'array')
打开Chaos:
复制到文本框中,然后单击“生成:”
选择一个要保存的文件夹
点击上网:
