安全矩阵

 找回密码
 立即注册
搜索
查看: 6361|回复: 0

Beacon Stager listener 去特征

[复制链接]

991

主题

1063

帖子

4315

积分

论坛元老

Rank: 8Rank: 8

积分
4315
发表于 2020-12-2 19:21:00 | 显示全部楼层 |阅读模式
原文链接:Beacon Stager listener 去特征

一、特征



在GitHub上nmap脚本出来时,我们也进行了测试和跟进,并且改掉了继承自msfuri的checksum8匹配算法。

某空间测绘已经扫描了全网的Stager Beacon Server,为了不被抓住快快修改起来吧~

二、特征修改
01 checksum8分析

符合checksum8逻辑的path就会请求出来一堆异或加密的“乱码数据”
  1. public static long checksum8(String text) {
  2.       if (text.length() < 4) {
  3.          return 0L;
  4.       } else {
  5.          text = text.replace("/", "");
  6.          long sum = 0L;

  7.          for(int x = 0; x < text.length(); ++x) {
  8.             sum += (long)text.charAt(x);
  9.          }

  10.          return sum % 256L;
  11.       }
  12.    }
复制代码

例如path:HjIa



02 曲线救国

Failed:通过修改beacon目录下的BeaconPayload.java中硬编码的0x2e为其他字符,发现nmap脚本无法解析Response的加密数据,看似可以,但木马无法上线。
试想:即使我们修改了xor的密钥,对方无法解密我们Teamserver的的profile,但请求符合众多checksum8的uri仍然能出现乱码,特征还是很明显的。
Success:所以我们通过“曲线救国”的方式将checksum8相关逻辑改掉,这种checksum8爆破“4个字符”的方式想要获取我们的beacon数据已经不可能,更无法解析。
通过查找checksum8的实现方法,可以找到它在WebServer.java和CommonUtils.java中进行了实现,我们知道返回数据是通过http进行的返回,所以WebServer.java的概率更大,这个WebServer继承于NanoHTTPD(微型服务器),看一下它里面的处理逻辑,它的URI就相当于个参数,参数经过checksum8计算后等于92或者93就会返回信息了,这里其实把92和93改掉也可以,但是这个功能还想正常使用,只能改成小于256的,因为算法最后对256取余,也就是说,爆破256次必然能爆破出来。


所以我们可以对checksum8算法进行修改,这里做简单修改,把取余操作去掉,那么就是计算的URI的和,就不容易爆破了。
计算脚本:
  1. public class EchoTest {
  2.     public static long checksum8(String text) {
  3.         if (text.length() < 4) {
  4.             return 0L;
  5.         }
  6.         text = text.replace("/", "");
  7.         long sum = 0L;
  8.         for (int x = 0; x < text.length(); x++) {
  9.             sum += text.charAt(x);
  10.         }

  11.         return sum;
  12.     }


  13.     public static void main(String[] args) throws Exception {
  14.         System.out.println(checksum8("4124bc0a9335c27f086f24ba207a4912.png"));
  15.     }
  16. }
复制代码


4124bc0a9335c27f086f24ba207a4912.png 这个计算结果为2449,修改后的地方如下,其他64位地方同理



再次访问ip/Hjla,返回404;
而访问ip/4124bc0a9335c27f086f24ba207a4912.png则会返回beacon数据。


03  后话
Cobalt Strike特征还蛮多的,其他非公开隐蔽特征欢迎加入我们一起讨论。





回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 13:47 , Processed in 0.012567 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表