魔改CobaltStrike：二开及后门生成分析

gclome

原文链接:魔改CobaltStrike：二开及后门生成分析


一、概述：

这次文章主要介绍下CobaltStrike 4.1相关功能的二开和后门（artifact.exe\beacon.exe）的生成方式，CobaltStrike的jar包我已反编译，并改了下反编译后的bug，teamserver与agressor均能正常调试使用，附反编译后项目地址：https://github.com/mai1zhi2/CobaltstrikeSource。若有不对的地方希望大伙指出，谢谢。后续将会再分享通讯协议与自定义客户端（后门）。PS：感谢Moriarty的分享课。


二、常用二开的方式：
2.1 RDI，反射型DLL注入
新建目录，添加反射型Dll:
​
在default.can文件中添加自定义的菜单项，其中传入参数$1为beaconID：
​
在AggressorBridge.java的scriptLoaded()方法中增加自定义的dialog:
​
在evaluate()方法添加相应的事件处理，来打开自定义的对话框：
​
自定义的对话框的构造方法传入client和beaconID的数组，以便后续构造TaskBeacon实例，再调用TaskBeacon实例中新增的RDITest()方法，：
​
下图为在TaskBeacon.java中的TaskBeacon类中新增的RDITest()，在该方法中生成RDITestJob类对象并调用其spawn()方法：
​
所增加的RDITestJob类，该类继承Job类，并实现所需的虚函数，其中getDLLName()函数要返回所需dll的路径：
​
​
另外在该类中重写了父类的spawn()方法，因为父类的spawn()方法会调用decrypt()函数解密后相应的资源后再去读取，而我们的dll没有进行加密，所以直接读取即可：
​
测试运行：
​
​


2.2 BOF，BeaconObject File，加载运行objFile
先生成相应的.Bof文件，这里以netstat功能为例子
新建自定义的BOF类，并继承PostExInlineObject类，重写类中的getObjectFile()方法，该方法的作用是返回要加载的BOF文件路径：
​
其中在父类PostExInlineObject中的getFunction()方法可以修改BOF文件的入口方法名，不一定为go：
​
然后在TaskBeacon增加其BOF类的调用：
​
最后在自定义dialog中调用：
​
测试运行：
​


三、简介相关后门的生成：
3.1、生成stager（artifact.exe）
​
​跟进show()，首先设置windowsexecute对话框里面的相应信息，其中DialogManagervar1为窗口管理对象，再调用addDialogListener(this)将当前的窗口加入链表，然后调用它的action()方法：
​
跟入action()方法，里面再调用action_noclose()方法：
​
跟入action_noclose()，首先找到Generate的按钮，然后为其添加事件监听：
​
选择listener，点击Generate:
​
点击按钮后就新建线程，通过listeners2属性获得一个窗口迭代器，然后迭代窗口对象，调用该窗口对象所实现DialogListener接口中的dialogAction()方法：
​
因为WindowsExecutableDialog实现了DialogListener的接口：
​
即调用该类中的dialogAction()方法：
​
跟入getPayloadStager()，该方法主要负责生成相关的shellcode:
​
跟入shellcode ()，该方法三个参数分别为listener、payload名称、payload的位数：
​
继续跟入resolve()，判断传入的payload名称var2是否在系统自带的payload链表var4里:
​
返回相应payload的GenericStager对象，并genericStager.generate()方法，该方法为主要shellcode的生成方法：
首先传入"resources/httpstager.bin"路径通过CommUtils.resource()获得相关的shellcode：
​
先拼接了teamserver地址和端口号：
​
​
​
再回填EXIT_FUNK_PROCESS：
​
​
回填SkipOffset和isSSL
​
回填User-agent:
​
回填URI：
​
这里注意这个getURI()生成URI的函数，现在有网络空间测绘进行网络上的扫描，该生成的URI就是其主要特征，跟入这个函数：
​
因为GenericHTTPStagerX86是父类，看ForeignHTTPStagerX86子类里面的函数实现，里面调用了MSFURI(32)，继续跟入：
​
这个函数是URI有大写字母+小写字母+数字组合而成，然后经过checksum()函数计算与92相等则成功生成，跟入checksum()：
​
在webserver端认证URI来下载beacon时也是通过checksum8()函数来认证：
​
​


最后函数执行完后返回shellcode，回到dialogAction()方法，后续判断需要生成的是exe还是dll，调用savefile()来保存，再在该函数中调用post()，里面新开线程，调用窗口对象的dialogResult()方法：
​
跟入dialogResult()方法，先获取了相关的信息：
​
根据信息调用patchArtifact()方法：
​

跟进patchArtifact()：
​
再跟进patchArtifact()，函数中主要调用_patchArtifact()，传入shellcode内容和相应文件名，先读取出在resources/中artfict32的内容：
​
再生成四个随机数放在数组var6中，然后将shellcode跟该数组进行异或处理后存放在var7：
​
在artfact.exe找到1024个‘A’的位置：
​
​
然后把相应的位置、异或所需的数组、异或后的shellcode内容及长度等信息填入var10:
​
然后把artfact32.exe的1024个’A’进行替换，并返回artfact32.exe内容：
​
接着把artfact32.exe内容传入fixChecksum()做校验和：
​
最后调用writetofile()把数据写入文件：
​
​
对比文件，1024个‘A’被替换成异或后的shellcode：
​


3.2生成Stage(Beacon.exe)分析:
​
前面流程都一样，主要分析WindowsExecuteStageDialog.java
​
跟入getListener()，里面主要做配置信息：
​
再跟入newScListener()：
​
先看DataUtils.getProfile(var1)，主要获取c2profile通信设置：
​
​
再看DataUtils.getPublicKey(var1)，获取pubkey的值：
​
​


返回listenervar4后，调用var4的export()方法，跟入，函数里判断payload的类型：
​
​
获得相关host和port后调用exportBeaconStageHTTP():
​
再跟入exportBeaconStage()，先获得当前的系统时间，然后读取resource/beacon.dll:
​
跟入readResource(Strings)，先把resource/替换成sleeve/，然后调用decrypt()解密读取到的相应资源：
​
跟入decrypt()，里面做相应的解密处理，先分别获取内容0到length-16的字节存入var2和length-16到length的字节存入var3：
​
计算var2的消息摘要：
​
取消息摘要的前16位与var3对比，相等则执行do_decrypt()解密操作：
​
然后读出数组的长度，跟进长度申请空间，再存入空间并返回：
​
接着后面读取c2配置文件的规则信息user-agent、sleep间隔、dns配置等：
​
​
注意：这里传入RSA的pubKey，用后续AES密钥传递通信：
​
把信息传入beacon_obfuscate()进行异或处理后，回填到解密后内容的"AAAABBBBCCCCDDDDEEEEFFFF"的位置，并返回：
​
返回后的内容传入process()，里面有前后两个处理pe文件的方法:
​
先跟进pre_process()，首先调用string()方法，传入pe内容即var1：
​
跟入string()，函数主要是读取默认配置文件default.profile里面的stage内容:
​
​
再获取配置文件stage标签里的image_size、entrypoint等基本信息，再进行设置:
​
​
跟入post_process()，主要判断生成的Beacon位数，然后修改其里面的DOS头，作为RDI调用：
​
硬编码修改DOS头，其中var1为需要跳转执行方法的位置：
​
​
返回修改好的内容，至此export()方法执行完毕，后续根据是否生成x64位程序和是否为.exe\.dll去修改。
​
跟入patchArtifact():
​
再跟入_patchArtifact()：
​
可见后面所调用的方法作用均与上面stager一致，不再赘述。