1.前言
菊花哥改的加强版CS,现在是不是都人手一份了呢?可是你知道为什么免杀吗,今天来大概看看。 2.分析
Beacon Config XOR KEY1 1.首先对于特征,这里改了beacon config xor key为双xor与beacon.dll对应。
2.更改了checksum特征。
3.最明显的一个就是可以看到界面上添加了Stageless,这个原版cs默认好像是没有的,但是在代码里面能看到是注释了,取消注释之后原版就有了,Stageless比Stager多了一个从服务端拉beacon的操作,直接用Stageless就好。
4.通过看代码生成payload流程,对比原版,这里简单重新封装了下,增加了扩展性,可维护性,跟原版逻辑差不太多。
5.最重要的就是beacon了,菊花哥也说过这个有些特征还是有,能配profile消除特征,该配profile还是得配,并不能生成即免杀。
以下是经过yara匹配出的这三个特征,但是这三个特征都是可以通过配置profile去除的,所以还是要配置一下的,可以参考我前面的文章有发过。
6.之前测试过,用原版cs配置profile与加强CS配置profile,最普通的loader,加强CS是可以过df的,原版在运行一条shell命令之后就会死,正常浏览文件等正常操作是不会的,但是通过逆向菊花哥的beacon可以看到其也没有改shell执行命令的这块代码,所以就可以推测是基于啥原理检测了呢。
3.总结
加强版beacon还改了很多,这里只是简单说明一下,也让大家了解下该如何使用以及更好的使用,感兴趣的可以去细看。
| 
发表于 2023-9-4 23:12:13