本文目录一览:
干货|CS(Cobaltstrike)免杀和使用
在Cobaltstrike生成木马时,首先创建监听器,选择“攻击-》生成后门-》windows executable”,保存生成木马。然而,CS生成的木马很容易被杀软识别,因此需要进行免杀操作。常见免杀方式包括修改文件属性、资源修改与加壳等。通过使用免杀木马脚本和应用Restorator工具,将资源信息复制到木马中,实现常见免杀。
在Cobaltstrike中生成木马以实施攻击,首先创建监听器,选择生成后门,再选择Windows executable进行木马生成。然而,CS生成的木马往往已被杀毒软件加入病毒库,容易被检测到。因此,需要采取免杀措施以绕过杀毒软件的检测。通常的免杀方式包括资源修改与加壳组合使用。
作为APT工具,Cobalt Strike因其强大的功能,在内网渗透测试和APT控制终端领域广受青睐。Fireeye多次分析了Cobalt Strike在APT案例中的应用。安装Cobalt Strike需要服务器支持,通过运行./teaserver ip 密码,然后使用CS客户端连接,输入对应ip、端口和密码。生成木马是Cobalt Strike的核心操作。
首先,利用Cobalt Strike生成shellcode文件,通常以.bin为后缀。选择攻击模式,生成后门,利用payload generator创建原始shellcode和监听器,生成.bin格式文件,将其重命名为beacon.bin。接着,将beacon.bin文件放置于Ant-AntV/Ant-AntV-main bean_raw目录下。回到主目录,运行Python脚本“gen_trojan.py”。
PowerShell内存加载EXE程序的实现是生成对应格式的shellcode(如exe、dll、c),使用Cobalt Strike生成,然后以Python开启HTTP服务。将二进制文件转换为字符串的PowerShell脚本(如`Convert-BinaryToString.ps1`)或Python脚本(如`Convert-BinaryToString.py`)进行操作。
