安全矩阵

 找回密码
 立即注册
搜索
查看: 2134|回复: 0

cobalstrike免杀:三板斧再锤卡巴

[复制链接]

991

主题

1063

帖子

4315

积分

论坛元老

Rank: 8Rank: 8

积分
4315
发表于 2021-5-16 22:03:38 | 显示全部楼层 |阅读模式
原文链接:cobalstrike免杀:三板斧再锤卡巴

1  、概述

这次我们一起来探究如何规避卡巴的内存扫描,使得cobalstrike的beacon能够存活,主要原理就是:在beacon发送完心跳包sleep,对自身的内存属性进行修改去除可执行属性和相关加密,其实现的方式有以下三种:
1、VEH Hook
2、SMC
3、InlineHook
下面会详细讲述各种方法。同时感谢BGWill师傅的文章,让我拓宽了见识。
相关代码已上传到项目中:
https://github.com/mai1zhi2/CobaltstrikeSource/

2 、 前置操作

在项目使用了自定义资源,并把beacon放在项目的资源中,然后通过解析自身的pe结构找到自身的资源,从而进行加载,beacon放在资源可以自己异或加密,放在bmp图片后也是可以的:



3 、 VEHHook

VEHHook是基于windows异常的一种Hook,所以这里要介绍下windows异常处理机制。在windows中,当程序执行过程中发生异常时,系统内核的异常处理过程(nt!KiDispatchException)便开始工作。当在没有内核调试器存在且异常程序没有调试的情况下,windows系统就会把异常处理过程转交给用户层的异常处理过程(ntdll!RtlDispatchException),用户层会查找异常程序中是否安装了VEH、SHE、TopLevelExceptionHandler等异常处理过程,如果已安装则交给其处理。
所以,我们需要先在beacon端安装相应的异常处理过程,然后在发送心跳包时硬编码写下int3断点指令,当程序执行到int3就会触发异常,就会在windows用户态触发相应的处理过程,VEH->SHE->TopLevelExceptionHandler。在这里我们使用int3+VEH Hook,因为VEH是全局的、基于进程、优先级高。

先找到发送心跳包处:

然后在对应pe文件中找到相应的位置,硬编码上int3即CC:


然后安装VectoredHandler过程,当程序执行到断定时产生异常,该异常会被VectoredHandler所捕获:



VectoredHandler()如下,在函数中我们需要判断发生异常的地址是否与预期一致,里面的context结构体有详细的栈、寄存器信息:



Win10x64执行效果:



Win7x86执行效果:



执行任务时内存属性:

内存中的断点位置:

Sleep时的内存属性:


4 、SMC

SMC(Self-ModifyingCode),即能修改自身代码,对自己的代码进行打内存补丁。在beacon中,我们需要对心跳包的sleep()进行打补丁,将其修改我们自定义的MySleep()。
这里需要注意的操作有,
1)因为CS的beacon是反射注入的,其反射注入的函数会对其进行重定位,所以我们需要对其pe的重定位数据进行修改,否则,在打内存补丁后,又被反射注入函数进行重定位,MySleep的函数地址就会出错。这也是不能使用IineHookCall IAT的原因。
经过pe下数两行半等一系列数手指操作,找到需要修改的重定位数据:


2)自定义的MySleep()函数是stdcall的,不然栈会不平衡:

在Mysleep()中,需要找到反射注入dll所申请的内存区域,所以要从栈上找到返回地址,再去进行相应的判断,应该也能使用egghunter在内存中捞出所在区域。

3)修改资源中心跳包的sleep()函数地址:


Win10x64执行效果:



Win7x86执行效果:



Sleep时的内存属性:


5 、InlineHook

Inline Hook是直接修改指令的Hook,使得程序转移了所执行的流程,转移的方式也各异,主要有jmpxxxxxxxx、pushxxxxxxxx/retn、moveax,xxxxxxxx/jmp eax、callHookAddr(输入表地址)、HotPatchHook。使用InlineHook要注意几个问题:
1、是当Hook操作时的线程安全问题,可以先暂停所有线程,再进行Hook操作,最后恢复线程去避免,而IATHook相当于原子操作,不存在这问题。因为我们这里是先Hooksleep(),再进行反射注入,所以也不存在这问题。
2、Detour函数重入,造成无限递归
3、Detour函数的线程安全问题,避免使用全局变量,若使用则要上锁。

这里我们稍改了下教主的框架,没有使用微软的InlineHook框架。
这里先定义代替Sleep()函数的自定义函数,也即是Detour():

里面的OriginalSleep函数是一条跳转回去执行系统的Sleep()通道,里面需要恢复原来的指令,及绕过自己安装的Hook:

获取到需要Hook函数的地址并记录,通过LoadLibrary()、GetProcAddress()获得系统Sleep()函数的地址,这里有个地方需要注意,或许因为编译版本不同,后面可能是FF25Jmp或E9 call或者其他,这里debug编译的是FF25Jmp,我们需要获取到Jmp后面地址所指向的值,该值才是真正系统Sleep()函数位置:


在系统Sleep()地址上,写入自己的跳转代码,一个E9Jmp跳到先前自定义好的Sleep():


可以看到系统的Sleep()函数已经被Hook了:

一个Jmp跳转到我们自定义的MySleep()中:

其中有个E84E ED FF FF 这个Call是跳转回OriginalSleep函数,即跳转回去执行系统的Sleep()通道:

OriginalSleep函数中一个Jmp,绕过了Hook,执行回系统的Sleep()函数:

至此InlineHook完成。

Win10x64执行效果:




6 小结

这次我们通过相关Hook的方式,达到修改内存中Beacon的属性和数据等目的,但操作起来还是有点繁琐。谢谢大家观看,下次我们再继续深究。

参考:

https://xz.aliyun.com/t/9399#toc-1
加密与解密


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-29 04:33 , Processed in 0.014466 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表