本帖最后由 jiangmingzi 于 2024-3-24 17:42 编辑
陆安予 白帽子安全笔记 2024-02-26 18:43 北京
作为一个顶级远控工具,免杀自然是刚需,Cobalt Strike官方给出了几个指导方向:一是使用Artifact插件,它是Arsenal(武器库)中的一部分,二是使用Veil框架,三是使用Java Applet技术,四是使用Resource插件,五是使用Sleep Mask插件。
[color=rgba(0, 0, 0, 0.9)]将最新武器库arsenal-kit20240125.tgz复制至kali桌面,右键选择Extract Here解压,可以看到这个kits目录下有这些插件: [color=rgba(0, 0, 0, 0.9)] [color=rgba(0, 0, 0, 0.9)]修改最外层配置文件arsenal_kit.config,默认只编译Artifact,Artifact提供了6种技术,我们需要修改下默认参数,比如默认的命名管道pipe技术变为peek,对应的每一种技术对应一个bypass文件在src-common中 [color=rgba(0, 0, 0, 0.9)] [color=rgba(0, 0, 0, 0.9)] artifactkit_technique="peek"artifactkit_allocator="MapViewOfFile"[color=rgba(0, 0, 0, 0.9)]接着到/home/kali/Desktop/arsenal-kit/kits/artifact/src-main/把resource.rc文件中的图启用,我们需要图标,另外文件属性也可稍微变下
[color=rgba(0, 0, 0, 0.9)] [color=rgba(0, 0, 0, 0.9)]在网上随便找个ico图标 https://www.iconarchive.com/tag/ico-files[color=rgba(0, 0, 0, 0.9)]执行./build_arsenal_kit.sh,生成dist文件夹 [color=rgba(0, 0, 0, 0.9)] [color=rgba(0, 0, 0, 0.9)]Cobalt Strike导入插件dist中的cna
[color=rgba(0, 0, 0, 0.9)] [color=rgba(0, 0, 0, 0.9)]生成一个stageless payload的信标
[color=rgba(0, 0, 0, 0.9)] [color=rgba(0, 0, 0, 0.9)]文件复制到装有卫士的win10虚拟机中,直接免杀360上线。
[color=rgba(0, 0, 0, 0.9)] [color=rgba(0, 0, 0, 0.9)]文件复制至windows10物理机中,直接免杀defender上线。
[color=rgba(0, 0, 0, 0.9)] #武器库验证地址:https://verify.cobaltstrike.com/arsenal-kit.txt#官方指南https://hstechdocs.helpsystems.c ... n.htm#_Toc65482771#
其他资料https://mp.weixin.qq.com/s/0bDPIOBaQ3wWnutQiOk_Zg
[color=rgba(0, 0, 0, 0.9)]高端的免杀,往往只需要最朴素的生成方式。回复arsenal获取arsenal-kit20240125.tgz。
| 
发表于 2024-3-24 17:42:40