CobaltStrike魔改与增强

渗透技巧 3年前 (2021) admin
2,169 0 0

文章为匿名投稿,该文章仅限提供思路,具体实现请自行研究使用。

文章内用到的代码源码 详见末尾


由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。

RedCode Team 拥有对此文章的修改和解释权如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经作者允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。


CobaltStrike魔改与增强

写这篇文档的目的在于记录CS客户端和服务器的魔改过程,因为有些点随着时间的过去会逐渐淡忘,有这么一篇详实的魔改过程记录文档,无疑对团队和个人来说都是件益事。这篇文档将记录CS4.4版本的破解使用,特征消除,功能改造增强的实现过程。

第一部分-破解使用

网上已经有人公开了4.4版本的原版jar包和破解方法,见CobaltStrike 4.4原版+通用白嫖破解及汉化加载器[1]。对于别人的公开不便评论,原本这个版本的原版jar包应该在一个小圈子里流传,后面被传出来了,也无所谓,反正迟早都要发生的。4.4版本由于class之间有循环校验文件完整性,导致4.3及之前版本的暴力替换class文件的破解方法失效,于是有师傅用java agent注入的形式动态替换内存当中的license实现白嫖。这位师傅就是Twi1ight[2]。CSAgent实现了CS 4.X的通杀白嫖,实在牛逼,膜。

上面是CS4.4相关的有趣故事,接下来是如何使用破解补丁的具体过程。首先clone CSAgent[3]到本地,然后IDEA打开。等待IDEA完成项目加载后,点击右侧maven选项,先执行compile,再执行single打包,生成破解补丁jar包。

CobaltStrike魔改与增强

CobaltStrike魔改与增强

执行完成后,生成jar包。

CobaltStrike魔改与增强

接下来复制一份完整的cs 4.x的目录,重命名为cobaltstrike4.4,然后替换该目录下的cobaltstrike.jar为cs4.4的原版jar包。将上面生成的破解补丁复制到目录下,重命名为CSAgent.jar。

CobaltStrike魔改与增强

替换cobaltstrike、teamserver、agscript、c2lint、cobaltstrike.bat文件中的解密key,cs4.4版本替换后的文件可以从release的1.2版本中下载。

#!/bin/bash## Start Cobalt Strike Aggressor Script# 文件 agscript
java -XX:ParallelGCThreads=4 -XX:+AggressiveHeap -XX:+UseParallelGC -classpath ./cobaltstrike.jar -javaagent:CSAgent.jar=5e98194a01c6b48fa582a6a9fcbb92d6 -Duser.language=en aggressor.headless.Start $*
#!/bin/bash## Check a Malleable C&C Profile# 文件 c2lint
java -XX:ParallelGCThreads=4 -XX:+UseParallelGC -classpath ./cobaltstrike.jar -javaagent:CSAgent.jar=5e98194a01c6b48fa582a6a9fcbb92d6 -Duser.language=en c2profile.Lint $1
#!/bin/bash## Start Cobalt Strike Client# 文件 cobaltstrike
java -XX:ParallelGCThreads=4 -XX:+AggressiveHeap -XX:+UseParallelGC -javaagent:CSAgent.jar=5e98194a01c6b48fa582a6a9fcbb92d6 -Duser.language=en -jar cobaltstrike.jar $*
; 文件 cobaltstrike.bat
java -XX:ParallelGCThreads=4 -XX:+AggressiveHeap -XX:+UseParallelGC -javaagent:CSAgent.jar=5e98194a01c6b48fa582a6a9fcbb92d6 -Duser.language=en -jar cobaltstrike.jar
#!/bin/bash## Start Cobalt Strike Team Server# 文件 teamserver
# make pretty looking messages (thanks Carlos)function print_good () { echo -e "x1B[01;32m[+]x1B[0m $1"}
function print_error () { echo -e "x1B[01;31m[-]x1B[0m $1"}
function print_info () { echo -e "x1B[01;34m[*]x1B[0m $1"}
# check that we're r00tif [ $UID -ne 0 ]; then print_error "Superuser privileges are required to run the team server" exitfi
# check if java is available...if [ $(command -v java) ]; then trueelse print_error "java is not in $PATH" echo " is Java installed?" exitfi
# check if keytool is available...if [ $(command -v keytool) ]; then trueelse print_error "keytool is not in $PATH" echo " install the Java Developer Kit" exitfi
# generate a certificate # naturally you're welcome to replace this step with your own permanent certificate. # just make sure you pass -Djavax.net.ssl.keyStore="/path/to/whatever" and # -Djavax.net.ssl.keyStorePassword="password" to java. This is used for setting up # an SSL server socket. Also, the SHA-1 digest of the first certificate in the store # is printed so users may have a chance to verify they're not being owned.if [ -e ./cobaltstrike.store ]; then print_info "Will use existing X509 certificate and keystore (for SSL)"else print_info "Generating X509 certificate and keystore (for SSL)" keytool -keystore ./cobaltstrike.store -storepass Microsoft -keypass Microsoft -genkey -keyalg RSA -alias cobaltstrike -dname "CN=*.microsoft.com, OU=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=WA, C=US"fi
# start the team server.java -XX:ParallelGCThreads=4 -Dcobaltstrike.server_port=50050 -Dcobaltstrike.server_bindto=0.0.0.0 -Djavax.net.ssl.keyStore=./cobaltstrike.store -Djavax.net.ssl.keyStorePassword=Microsoft -server -XX:+AggressiveHeap -XX:+UseParallelGC -classpath ./cobaltstrike.jar -javaagent:CSAgent.jar=5e98194a01c6b48fa582a6a9fcbb92d6 -Duser.language=en server.TeamServer $*

现在已经破解完成,可以启动teamserver和client查看效果。

CobaltStrike魔改与增强

CobaltStrike魔改与增强

CobaltStrike魔改与增强

CobaltStrike魔改与增强

生成木马上线测试。

CobaltStrike魔改与增强

成功上线。

CobaltStrike魔改与增强

测试执行命令。

CobaltStrike魔改与增强

可开启汉化选项,复制CSAgent提供的resources和script目录到cs4.4的目录下,关闭客户端重新启动即可汉化。

CobaltStrike魔改与增强

第二部分-特征消除

逆向环境搭建

  • idea pro

  • java-decompiler

使用idea安装目录下的plugins/java-decompiler/lib/java-decompiler.jar文件反编译cobaltstrike.jar,反编译完成得到cs的java源码,需要注意的是,得到的源码是一个jar的压缩包,解压即可得到源码。

java -cp IDEA_HOME/plugins/java-decompiler/lib/java-decompiler.jar  org.jetbrains.java.decompiler.main.decompiler.ConsoleDecompiler -dgs=true <src.jar> <dest dir>

接下来新建一个IDEA项目,jdk版本选择1.8。

CobaltStrike魔改与增强

下一步勾选Create Project from template.

CobaltStrike魔改与增强

创建完成项目之后,解压缩源码jar包中的代码到项目的src目录下。完成这些,初步的逆向分析环境就搭建好了。

teamserver登录接口

启动CS TeamServer的过程中,会看到其日志打印提示信息

CobaltStrike魔改与增强

[*] SHA256 hash of SSL cert is: d1a004dba75db4c313f6d6ce33181418112c4186a6cf1c58b4c12bf4a427ba46

可以通过前面的提示信息SHA256 hash of SSL cert is在代码中搜索,定位到TeamServer启动的位置(server/TeamServer/A)。

CobaltStrike魔改与增强

其中SecureServerSocket var4 = new SecureServerSocket(var3, this.port)这行代码正是简历TCP TLS监听的代码。var3是程序监听的IP地址,如果在启动teamserver时没有指定,那么默认监听绑定的地址就是0.0.0.0。代码接下来便是对新连接的客户端请求进行处理的过程(server/TeamServer/A)。

CobaltStrike魔改与增强

对于每个连接的客户端请求,都会调用acceptAndAuthenticate方法去验证身份(ssl/SecureServerSocket/acceptAndAuthenticate)。跟进这个方法,继续分析。

CobaltStrike魔改与增强

最终调用了authenticate方法对新创建的连接进行认证,第一个参数是连接的socket对象,第二个参数是当前服务端设置的连接密码,第三个参数的客户端的IP地址(ssl/SecureServerSocket/authenticate)。跟进该方法,继续分析。

CobaltStrike魔改与增强

首先从socket请求中读取4字节的int型变量。如果读取到的数据与48879相等,那么继续后面的处理过程,否则就直接返回false,身份认证失败,关闭客户端的连接。因此,我们这里可以修改这一字段的值,改为我们自定义的其他值,以避免teamserver口令爆破和指纹识别的风险

上面是teamserver端的处理过程,与之相对应的,客户端也有一段登录请求包的构造过程(ssl/SecureSocket/authenticate),在修改服务端的同时,也要修改客户端,才能在修改完成之后,正常的用户通过修改后的客户端登录。

CobaltStrike魔改与增强

设置连接密码为admin123,启动teamserver。使用网上开源的cs登录密码爆破脚本分别爆破修改前和修改后的teamserver。

修改前的teamserver被爆破出密码为admin123。

CobaltStrike魔改与增强

修改后的teamserver无法被爆破出密码。

CobaltStrike魔改与增强

使用修改后的客户端可正常登录TeamServer。

CobaltStrike魔改与增强

分段beacon下载路径特征

使用分段的木马上线,木马会请求一个随机URI路径下载第二阶段的beacon文件,这个beacon文件就是CS的控制功能所在。

CobaltStrike魔改与增强

根据网上师傅们分享的URI检测的代码所在位置(cloudstrike/WebServer/checksum8),按照师傅们提到的,修改这一部分的校验逻辑。

CobaltStrike魔改与增强

与之相对应,还需要修改另一处生成stager时获取URI的代码(common/CommonUtils/MSFURI)。

CobaltStrike魔改与增强

修改前手动下载beacon文件。

CobaltStrike魔改与增强

IDA中可打开查看shellcode内容。

CobaltStrike魔改与增强

修改后手动下载beacon文件。

CobaltStrike魔改与增强

生成默认的分段上线exe,执行上线成功。

CobaltStrike魔改与增强

CobaltStrike魔改与增强

64位程序上线成功。

CobaltStrike魔改与增强

CobaltStrike魔改与增强

另外还有一种方法,就是在不需要分段模式上线的时候kill掉管理站点下的stager,在需要的时候再开起来,这也是一种规避stager uri扫描的方法。

CobaltStrike魔改与增强

修改beacon配置信息的默认密钥

参考网上其他师傅公开的资料,beacon/BeaconPayload的beacon_obfuscate方法对beacon的配置信息进行了异或混淆,异或的key是固定的,3.x是0x69,4.x为0x2e。

CobaltStrike魔改与增强

这里的46的16进制就是0x2E。修改完服务端beacon的混淆密钥,与之对应,需要修改sleeve目录下的dll文件。这些DLL文件默认是加密的,使用ca3tie1[4]师傅开发的 CrackSleeve[5]程序解密这些DLL,在修改完密钥之后再加密回去即可。需要注意的是,在解密的时候需要将程序中默认的密钥改成4.4版本的。

CobaltStrike魔改与增强

CobaltStrike魔改与增强

其中以x64结尾的是64位文件,x86或者没有后缀名的为32位文件。使用IDA打开beacon.dll,搜索0x2e,找到之后修改成与服务端相同的密钥即可。

CobaltStrike魔改与增强

CobaltStrike魔改与增强

CobaltStrike魔改与增强

修改完成之后,选择Edit->Patch Program -> Apply patches to input file保存文件修改即可。类似的,其他dll文件也需要修改密钥。修改完成密钥之后,执行encode加密操作,重新将修改后的dll加密回去,然后替换原来jar包中的DLL文件即可。需要修改的文件有beacon、dnsb、extc2、pivot以及这些文件的x64版本。

CobaltStrike魔改与增强

注意,在替换jar包中的sleeve文件时,需要提前备份原来的文件,防止修改之后,出现错误,导致程序无法使用。

修改混淆密钥前,使用CobaltStrikeParser[6]解析beacon的配置信息。

CobaltStrike魔改与增强

修改混淆密钥后再次解析。

CobaltStrike魔改与增强

生成32位、64位的分段exe程序上线成功。

CobaltStrike魔改与增强

其他一些特征修改

.cobaltstrike.beacon_keys和cobaltstrike.store这两个文件不要使用默认的文件,删除后生成新的。profile文件要换新的,启动服务端时记得加载,或者直接把jar包里面的默认配置给改了开在公网的teamserver不要使用默认端口

第三部分-改造增强

shellcode自定义

ShellCode开发框架参考自快乐鸡哥[7]师傅和鬼手[8]师傅,两位师傅YYDS。之所以参考两位师傅的,是因为快乐鸡哥师傅的shellcode框架里没有生成x64的,而鬼手师傅的代码里有64位的。

CobaltStrike魔改与增强

CobaltStrike魔改与增强

两位师傅写的代码搜索API的算法区别也比较大,笔者觉得这里应该参考快乐鸡哥师傅的。快乐鸡哥师傅的搜索算法是先定位函数所在DLL模块,再在模块内搜索,当调用函数较多时,这个方法效率比鬼手师傅的全局搜索效率要高,并且hash冲突的可能性也会比较低。

CobaltStrike魔改与增强

CobaltStrike魔改与增强

笔者的目标是先搜寻内存当中的DLL模块的基址,再从基址遍历导出表计算导出函数HASH并对比获取导出函数的内存地址。为了得到Shellcode,需要首先分别计算出DLL模块名称的HASH和导出函数的HASH。

CobaltStrike魔改与增强

CobaltStrike魔改与增强

将生成的HASH数据导出到文件中保存。接下来将上线的C代码写好,生成shellcode,分别上线测试。

32位ShellCode上线成功。

CobaltStrike魔改与增强

CobaltStrike魔改与增强

64位ShellCode上线成功。

CobaltStrike魔改与增强

CobaltStrike魔改与增强

接下来分析CS的ShellCode生成替换过程。首先定位到ShellCode生成过程代码入口(aggressor/dialogs/PayloadGeneratorDialog)。

CobaltStrike魔改与增强

首先判断格式,每个格式对应不同的语言代码模板。这里直接看原始的payload如何构造。

CobaltStrike魔改与增强

根据前端用户的选项选择payload架构和监听器,然后将选项传入getListener函数,返回后调用getPayloadStager函数,继续跟进分析。

CobaltStrike魔改与增强

getListener通过监听器的名字从全局注册的监听器中搜索,并返回监听器对象。跟进ScListener对象的getPayloadStager函数分析。

CobaltStrike魔改与增强

getPayloadStager直接调用了Stagers.shellcode函数,跟进。

CobaltStrike魔改与增强

shellcode是个单例方法,最终会调用Stagers的对象方法resolve根据选择的监听器类型生成GenericStager,再调用generate方法生成shellcode。

CobaltStrike魔改与增强

CobaltStrike魔改与增强

笔者这里自定义的ShellCode是reverse http,因此会进入GenericHTTPStagerX64和GenericHTTPStagerX86。

CobaltStrike魔改与增强

CobaltStrike魔改与增强

最终都会进入GenericHTTPStager的generate方法。

public byte[] generate() {      try {         // 获取stager模板文件         InputStream var1 = CommonUtils.resource(this.getStagerFile());         // 读取模板文件到内存         byte[] var2 = CommonUtils.readAll(var1);         String var3 = CommonUtils.bString(var2);         var1.close();         // 获取监听器的host信息,最后添加一个unicode的0结尾,放到模板代码的最后         var3 = var3 + this.getListener().getStagerHost() + 'u0000';         // 创建一个packer对象         Packer var4 = new Packer();         // 设置为小端字节序         var4.little();         // 添加监听器的端口         var4.addShort(this.getListener().getPort());         AssertUtils.TestPatchS(var2, 4444, this.getPortOffset());         // 替换shelllcode模板中端口偏移处的信息         var3 = CommonUtils.replaceAt(var3, CommonUtils.bString(var4.getBytes()), this.getPortOffset());         var4 = new Packer();         var4.little();         // 设置exit代码         var4.addInt(1453503984);         AssertUtils.TestPatchI(var2, 1453503984, this.getExitOffset());         var3 = CommonUtils.replaceAt(var3, CommonUtils.bString(var4.getBytes()), this.getExitOffset());         var4 = new Packer();         var4.little();         var4.addShort(this.getStagePreamble());         AssertUtils.TestPatchS(var2, 5555, this.getSkipOffset());         var3 = CommonUtils.replaceAt(var3, CommonUtils.bString(var4.getBytes()), this.getSkipOffset());         var4 = new Packer();         var4.little();         // 设置连接选项         var4.addInt(this.getConnectionFlags());         AssertUtils.TestPatchI(var2, this.isSSL() ? -2069876224 : -2074082816, this.getFlagsOffset());         var3 = CommonUtils.replaceAt(var3, CommonUtils.bString(var4.getBytes()), this.getFlagsOffset());         String var5;         // 搜索303个X,搜索到的话,替换成headers信息         if (CommonUtils.isin(CommonUtils.repeat("X", 303), var3)) {            var5 = this.getConfig().pad(this.getHeaders() + 'u0000', 303);            var3 = CommonUtils.replaceAt(var3, var5, var3.indexOf(CommonUtils.repeat("X", 127)));         }
// 搜索79个Y,然后替换成URI int var6 = var3.indexOf(CommonUtils.repeat("Y", 79), 0); var5 = this.getConfig().pad(this.getURI() + 'u0000', 79); var3 = CommonUtils.replaceAt(var3, var5, var6); // 最终在尾部添加水印信息后返回 return CommonUtils.toBytes(var3 + this.getConfig().getWatermark()); } catch (IOException var7) { MudgeSanity.logException("HttpStagerGeneric: " + this.getStagerFile(), var7, false); return new byte[0]; } }

这里以32位shellcode为例,通过代码,模板文件为resources/httpstager.bin。在反编译jar包的源码中,找到该文件,用010Editor打开,再打开生成的shellcode文件,对比两者的差别。

CobaltStrike魔改与增强

第一处区别偏移是0xBF,十进制就是191,这个偏移正是GenericHTTPStagerX86类中定义的端口数据的偏移,teamserver监听端口为8088,16进制正是0x1f98,这里是小端存储,即981F。第三处区别的偏移是0x143,对比文件内容,正是替换Y的地方。前面是占位80字节的URI信息,后面是headers信息。

CobaltStrike魔改与增强

CobaltStrike魔改与增强

这里水印信息为499602D2。这些便是根据监听器配置生成的ShellCode数据。

经过上面的处理流程之后,最后通过common/CommonUtils.writeToFile将ShellCode直接写入文件。

CobaltStrike魔改与增强

写在最后

其实前面这些魔改只是做的表面功夫,真正到实战当中还是会被实力强的杀软秒杀,比如卡巴斯基等。遇到这些对手,需要让beacon和其他后渗透模块高度自定义,这里面涉及到很多方面,静态和行为都需要改造,所以单从魔改CS的客户端、服务端和控制端已经远远不够了,并且灵活度太低,参考快乐鸡哥师傅用C#重写的SharpBeacon(师傅YYDS)。另外,鉴于改造CS的客户端这么麻烦,不如在搞清楚CS的内部原理之后,在外部建设一个Stager生成服务,通过CS的配置动态生成各种语言版本的Stager,这样省去了通过Agent动态替换JAVA指令的麻烦,灵活度大大增加。

参考资料

https://github.com/Twi1ight/CSAgenthttps://github.com/ryanohoro/csbruterhttps://mp.weixin.qq.com/s/HibtLfikI_0ezcLVCRxqaAhttps://mp.weixin.qq.com/s/0MPM3bysJJYr5jbRnES_Vghttps://github.com/Sentinel-One/CobaltStrikeParserhttps://github.com/CCob/BeaconEyehttps://mp.weixin.qq.com/s/_gSPWVb1b-xuvhU6ynmw0Qhttps://wbglil.gitbook.io/cobalt-strike/cobalt-strike-gong-ji-fang-yu/untitled-1https://github.com/TonyChen56/ShellCodeFramehttps://gitee.com/stemmm/CobaltstrikeSource

References

[1] CobaltStrike 4.4原版+通用白嫖破解及汉化加载器: https://www.ddosi.org/cobaltstrike-4-4-csagent/
[2] Twi1ight: https://github.com/Twi1ight
[3] CSAgent: https://github.com/Twi1ight/CSAgent
[4] ca3tie1: https://github.com/ca3tie1
[5] CrackSleeve: https://github.com/ca3tie1/CrackSleeve
[6] CobaltStrikeParser: https://github.com/Sentinel-One/CobaltStrikeParser
[7] 快乐鸡哥: https://github.com/mai1zhi2
[8] 鬼手: https://github.com/TonyChen56



知识星球人员介绍

CobaltStrike魔改与增强

知识星球二维码

CobaltStrike魔改与增强


文章内用到的代码源码已同步更新在知识星球

原文始发于微信公众号(RedCode Team):CobaltStrike魔改与增强

版权声明:admin 发表于 2021年12月1日 上午2:43。
转载请注明:CobaltStrike魔改与增强 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...