随笔分类 -  CobaltStrike 深入学习

CobaltStrike逆向学习系列(15):CS功能分析-BOF
摘要:这是[信安成长计划]的第 15 篇文章 0x00 目录 0x01 BOF功能分析 0x02 BOF功能执行 0x03 写在最后 其实在看过 RDI 与 DotNet 功能执行之后,BOF 的执行基本就不用再说了,唯一需要提及的可能就是它所包含的技术,而且相关的文章和代码也都很丰富了 0x01 BOF 阅读全文
posted @ 2022-03-01 10:39 信安成长计划 阅读(579) 评论(0) 推荐(0)
CobaltStrike逆向学习系列(14):CS功能分析-DotNet
摘要:这是[信安成长计划]的第 14 篇文章 0x00 目录 0x01 DotNet功能分析 0x02 DotNet功能执行 0x03 写在最后 在上两篇文章中,讲述了 CS 中的一种功能执行方式 RDI,这一次来分析一下另外一个非常重要的功能执行方式——DotNet 0x01 DotNet功能分析 Co 阅读全文
posted @ 2022-03-01 10:38 信安成长计划 阅读(210) 评论(0) 推荐(0)
CobaltStrike逆向学习系列(12):RDI 任务发布流程分析
摘要:这是[信安成长计划]的第 12 篇文章 0x00 目录 0x01 任务构建 0x02 结果处理 0x03 功能 DLL 分析 之前的分析都是针对整个 CS 的框架来进行的,但是功能也是整个 C2 中相当重要的部分,接下来几篇文章会对基本的功能类型的流程进行分析 0x01 任务构建 CS 自带的 RD 阅读全文
posted @ 2022-03-01 10:37 信安成长计划 阅读(334) 评论(0) 推荐(0)
CobaltStrike逆向学习系列(13):RDI 任务执行流程分析
摘要:这是[信安成长计划]的第 13 篇文章 0x00 目录 0x01 任务号 0x02 功能执行 0x03 结果接收 在上一篇文章中已经讲明了 RDI 类型的任务在发布时候的流程,接下来就是执行了,文中不提任务接收与结果回传,这部分内容在之前也已经分析过了,继续使用 HashDump 来进行分析 0x0 阅读全文
posted @ 2022-03-01 10:37 信安成长计划 阅读(218) 评论(0) 推荐(0)
CobaltStrike逆向学习系列(11):自实现 Beacon 检测工具
摘要:这是[信安成长计划]的第 11 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 检测原理 0x02 检测方案 0x03 存在的问题 0x04 解决方案 0x05 示例代码 0x06 写在最后 年也过了,继续开始卷卷卷... 目前使用比较多的检测工具就是 BeaconEye,在之前的 阅读全文
posted @ 2022-02-03 18:21 信安成长计划 阅读(200) 评论(0) 推荐(0)
CobaltStrike逆向学习系列(10):TeamServer 启动流程分析
摘要:这是[信安成长计划]的第 10 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 基本校验与解析 0x02 初始化 0x03 启动 Listeners 在之前的分析中,都是针对 CobaltStrike 整体通信流程的,也就忽略了中间的一些细节,其中一些细节对理解整个 CobaltS 阅读全文
posted @ 2022-01-28 10:32 信安成长计划 阅读(451) 评论(0) 推荐(0)
Bypass BeaconEye - Beacon 堆混淆
摘要:这是[信安成长计划]的第 9 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 CS4.5 Sleep_Mask 0x02 HeapEncrypt 0x03 效果 0x04 参考文章 在之前的文章《Bypass BeaconEye》中提过了两个 Bypass BeaconEye 的方 阅读全文
posted @ 2022-01-21 11:16 信安成长计划 阅读(250) 评论(0) 推荐(0)
CobaltStrike逆向学习系列(8):Beacon 结果回传流程分析
摘要:这是[信安成长计划]的第 8 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 Beacon 接收与处理 0x02 结果回传 Beacon 在接受完命令并执行后,会将数据加密回传给 TeamServer,TeamServer 进行解析后,并根据类型对结果的格式进行处理后,再回传给 C 阅读全文
posted @ 2022-01-19 11:29 信安成长计划 阅读(95) 评论(0) 推荐(0)
CobaltStrike逆向学习系列(7):Controller 任务发布流程分析
摘要:这是[信安成长计划]的第 7 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 Controller->TeamServer 0x02 TeamServer->Beacon 0x03 流程图 所有的任务在 Controller 处理以后,都会直接发送到 TeamServer,接着等待 阅读全文
posted @ 2022-01-14 13:25 信安成长计划 阅读(135) 评论(0) 推荐(0)
CobaltStrike逆向学习系列(6):Beacon sleep_mask 分析
摘要:这是[信安成长计划]的第 6 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 C2Profile 分析 0x02 set userwx "true" 0x03 set userwx "false" CobaltStrike 提供了一个内存混淆功能,它会在 Sleep 的时候将自身混 阅读全文
posted @ 2022-01-11 11:37 信安成长计划 阅读(299) 评论(0) 推荐(0)
CobaltStrike逆向学习系列(5):Bypass BeaconEye
摘要:这是[信安成长计划]的第 5 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 BeaconEye 检测原理 0x02 Bypass 1 0x03 Bypass 2 0x04 效果图 在之前的三篇文章《Stageless Beacon 生成流程分析》《Beacon C2Profile 阅读全文
posted @ 2022-01-10 22:31 信安成长计划 阅读(196) 评论(0) 推荐(0)
CobaltStrike逆向学习系列(4):Beacon 上线协议分析
摘要:这是[信安成长计划]的第 4 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 Beacon 发送 0x02 TeamServer 处理 0x03 流程图 0x04 参考文章 在上一篇讲解 C2Profile 解析的时候,已经提到过如何断入到真正的 beacon.dll 当中,并且也 阅读全文
posted @ 2022-01-10 15:52 信安成长计划 阅读(218) 评论(0) 推荐(0)
CobaltStrike逆向学习系列(3):Beacon C2Profile 解析
摘要:这是[信安成长计划]的第 3 篇文章 关注微信公众号[信安成长计划] 0x00 目录 0x01 Controller 端分析 0x02 Beacon 端分析 0x03 展示图 在上一篇文章中完成了 Stageless Beacon 生成的分析,接下来就是对 Beacon 的分析了,在分析上线之前先将 阅读全文
posted @ 2022-01-10 15:51 信安成长计划 阅读(226) 评论(0) 推荐(0)
CobaltStrike逆向学习系列(2):Stageless Beacon 生成流程分析
摘要:这是[信安成长计划]的第 2 篇文章 关注微信公众号 [信安成长计划] 0x00 目录 0x01 Patch Beacon 0x02 Patch Loader 0x03 文件对比 0x04 流程图 CobaltStrike 的 Beacon 生成分为两种,Stage Beacon 和 Stagele 阅读全文
posted @ 2022-01-10 15:46 信安成长计划 阅读(414) 评论(0) 推荐(0)
CobaltStrike逆向学习系列(1):CS 登陆通信流程分析
摘要:这是[信安成长计划]的第 1 篇文章 关注微信公众号[信安成长计划][SecSource] 0x00 目录 0x01 密码校验 0x02 aggressor.authenticate 0x03 aggressor.metadata 0x04 数据同步 0x05 流程图 0x06 参考文章 先统一一下 阅读全文
posted @ 2022-01-10 15:42 信安成长计划 阅读(390) 评论(0) 推荐(0)