逆向分析Cobalt Strike安裝後門

2020-12-05 騰訊網

安全分析與研究

專注於全球惡意軟體的分析與研究

Cobalt Strike簡介

Cobalt Strike是一款基於java的滲透測試神器,也是紅隊研究人員的主要武器之一,功能非常強大,非常適用於團隊作戰,Cobalt Strike集成了埠轉發、服務掃描,自動化溢出,多模式埠監聽,win exe木馬生成,win dll木馬生成,java木馬生成,office宏病毒生成,木馬捆綁;釣魚攻擊包括:站點克隆,目標信息獲取,java執行,瀏覽器自動攻擊等,至於Cobalt Strike詳細怎麼玩,我就不介紹了,網上很多教程,功能也很強大,我主要想從逆向的角度去分析一下Cobalt Strike安裝後門的技術原理,跟蹤一下它是如何與伺服器進行連接,並安裝Beacon後門模塊的。

搭建測試環境

測試環境:

1.服務端 kali 用於Cobalt Strike服務端

2.攻擊機 win7 用於Cobalt Strike客戶端

3.測試機 win7 測試安裝Cobalt Strike的後門程序

工具

Cobalt Strike 4.1中文版

啟動Cobalt Strike伺服器,如下所示:

啟動Cobalt Strike客戶端,生成EXE後門,如下所示:

Cobalt Strike監聽器的Payload可以自定義設置,我這裡以Beacon HTTP為例,如下所示:

生成EXE後門之後在測試機上運行,客戶端會提示有主機上線,開啟beacon操作接口,如下所示:

後面就可進行各種操作了,這裡就不介紹了,教程很多,也有很多不同的玩法,我主要對生成的EXE比較感興趣,重點研究一下生成的EXE,是怎麼運行的。

逆向跟蹤分析

1.拼接字符串,如下所示:

2.創建線程,連接管道,如下所示:

3.通過VirtualAlloc分配內存空間,解密shellcode代碼,如下所示:

4.解密出來shellcode代碼,如下所示:

5.跳轉執行解密出來的shellcode代碼,如下所示:

6.shellcode代碼,加載wininet.dll,如下所示:

7.調用InternetOpenA,InternetConnectA等函數連接伺服器,如下所示:

8.調用HttpOpenRequestA,HttpSendRequestA等函數向伺服器發送連接請求,如下所示:

9.調用VirtualAlloc分配內存空間,存放返回的數據,如下所示:

10.通過InternetReadFile循環讀取伺服器返回的數據,如下所示:

11.從伺服器上返回的數據,如下所示:

分析返回的數據,為Cobalt Strike反射型注入後門模塊beacon.dll,如下所示:

這樣beacon的後裝模塊就安裝成功了,就是之前我們在客戶端上通過beacon的後門模塊進行後面的操作了。

通過動態跟蹤分析發現Cobalt Strike的Revere HTTP的ShellCode執行流程,如下所示:

wininet.dll->InternetOpenA->InternetConnectA->HttpOpenRequestA->HttpSendRequestA->VirtualAlloc->InternetReadFile,反射加載執行返回的beacon.dll後門模塊。

上面對Cobalt Strike的Bean HTTP Reverse的Payload的實例進行了逆向分析,其他的Payload模塊可以使用相同的方法進行跟蹤分析,就不做介紹了,可自行進行深入的研究,其實做安全到最後都是相通的,基礎安全研究才是安全的核心。

不忘初心

做安全不忘初心,方得始終,只要你做的事是對社會有意義的,能幫助別人就是有價值的事,就一定要堅持做到底,最後都會有回報,前段時間筆者獲得了江蘇省信息網絡安全協會2019年的優秀個人獎,非常感謝協會朋友對筆者的認可,如何做一家偉大的企業,我覺得偉大的企業,一定是對客戶,對社會,對國家,或者更大一點說是對全人類有貢獻有幫助的企業,當你的客戶提起你的企業的時候,會從內心覺得這家企業是做實事的,覺得你的產品和服務,實實在在地幫助他們解決了一些問題,給他們創造了一些價值,這樣你就自然而然的會賺到錢,賺錢永遠不是偉大企業的目標,只要是做對社會有貢獻的事,對別人有幫助的事,讓客戶信任你的產品,滿意你的服務,相信你的專業,就一定能賺到錢,偉大的企業,在別人的眼中,肯定不僅僅只是一家只會賺錢的企業,當你能真正幫助到企業,就一定可以賺到錢,客戶也願意與你合作,也願意花錢購買你的產品和服務,只這樣的企業將來才能越做越大,越做越強,最後成為一家偉大的企業,受到客戶的尊敬。

堅持做對社會有貢獻的事,堅持做對別人有幫助的事,身為一個安全研究人員,要不忘初心,當國家有需要的時候,有時間和機會一定要為國家網絡安全事業儘自己的一點微薄之力,全球網絡安全戰已經開始,未來需要更多專業的安全研究人員,一起努力,共同進步。

最後打個小廣告:

主管前幾天跟我說還要招一到兩名安全研究人員,如果你對惡意樣本研究感興趣,想從事最基礎的安全研究工作,可以投簡歷給我,或微信與我聯繫,我們聊聊,我們一直做的就是最基礎的安全研究,基礎安全研究是安全的核心,就像很多人稱自己做了好多年的安全,其實並不懂安全,主要還是基礎安全研究做的少,做安全萬變不離其餘,其實做到最後都是相通的,沉下心來,做基礎安全研究,將來才能走的更遠,做安全永遠在路上,沒有終點。

往期推薦

安全的路很長,致迷茫的你

淺談二進位漏洞研究與病毒研究

王正

筆名:熊貓正正

惡意軟體研究員

長期專注於全球各種流行惡意軟體的分析與研究,深度追蹤全球黑客組織的攻擊活動,擅長各種惡意軟體逆向分析技術,具有豐富的樣本分析實戰經驗,對勒索病毒、挖礦病毒、竊密遠控木馬、銀行木馬、殭屍網絡、APT攻擊類樣本都有深入的分析與研究

心路歷程:從一無所知的安全小白菜,到十幾年安全經驗的老白菜,安全的路還很長,一輩子只做一件事,堅持、專注,專業!

相關焦點

  • 滲透測試神器Cobalt Strike使用教程
    >圖3agscript拓展應用的腳本c2lint 用於檢查profile的錯誤異常teamserver服務端程序cobaltstrike,cobaltstrike.jar客戶端程序(java跨平臺)logs目錄記錄與目標主機的相關信息update,update.jar用於更新CSthird-party第三方工具啟動伺服器
  • 【福利】Cobalt Strike 4.0 官方教程筆記來了!
    訪問Cobalt Strike官網https://www.cobaltstrike.com/可以申請到21天測試版的序列號。Why Cobalt Strike相較於Metasploit,Cobalt Strike更適合於域滲透,並具有諸多優點。
  • 通過命名管道分析實現Cobalt Strike默認模塊的檢測
    0x01 分析  我們知道,Cobalt Strike在執行某些命令時會使用一種特定的模式,被稱為「Fork-n-Run」。Fork-n-Run模式會產生一個新的進程(也被稱為Sacrificial Process),並將功能注入到其中。
  • 惡意軟體分析:藉助軍事相關誘餌文檔傳播Cobalt Strike
    該惡意活動還表明,儘管基於網絡的檢測非常關鍵,但是也應該通過分析系統行為特徵、部署終端防護產品等方式,對網絡層檢測能力進行補充,以提供額外的安全性。 原始文檔的哈希值:0d16b15972d3d0f8a1481db4e2413a2c519e8ac49cd2bf3fca02cfa3ff0be532 3.3 惡意VBA分析 根據兩個不同樣本中使用的不同技術,我們分別分析本地嵌入的惡意宏代碼,以及從遠程位置下載的注入後模板中所使用的惡意宏代碼
  • 中文版putty後門事件分析
    【IT168 評論】2月1日消息,近日,中文版putty等SSH遠程管理工具被曝出存在後門,該後門會自動竊取管理員所輸入的SSH用戶名與口令,並將其發送至指定伺服器上。
  • 華碩路由器添加固件後門
    極光無限維陣專家團隊基於對華碩路由器漏洞的研究,對華碩無線路由器固件進行了深入解析,我們得出以下結論:直接在固件中添加後門命令,路由器前臺進行固件更新即可植入固件級別的後門firmware-mod-kit: https://gitlab.com/kalilinux/packages/firmware-mod-kitida: https://www.hex-rays.com/products/ida/python: https://www.python.org/安裝
  • 「黑」掉神經網絡:通過逆向模型文件來重構模型後門
    可見,深度學習模型具備天生的安全隱患,因此在傳統的諸多案例中我們也看到,大量的研究者通過數據投毒的方式對模型植入後門,以實現攻擊的核心目的。 隨著技術研究的不斷深入,安全專家也開始探索更為高級的攻擊方式,例如:直接控制神經元,將AI模型改造為後門模型,進一步實現對神經網絡的深層次攻擊。在本次XCon2020的會議現場,這場安全與威脅間的正面對抗也即將展開。
  • IDA,軟體逆向分析神器
    如果要靜態分析apk程序,那麼肯定要dex-tools + jd-gui搞起,但是,如何動態調試打包好的應用程式呢。本文主要介紹如何用IDA動態調試Android設備上運行的程序。1.從官網下載IDA並安裝,從安裝目錄中找到android_server。
  • 黑客組織利用VPN安裝程序分發後門
    本文中,研究人員描述了攻擊者如何將Windscribe VPN安裝程序與後門軟體捆綁在一起。後門可以使遠程攻擊者繞過身份驗證,獲得計算機的訪問權和控制權。此次攻擊中使用的後門被趨勢科技檢測為Backdoor.MSIL.BLADABINDI.THA,關聯的惡意文件被檢測為Trojan.MSIL.BLADABINDI.THIOABO。
  • Android逆向反編譯代碼注入APK過程思路分析
    一、名稱解釋逆向 - 是一種產品設計技術再現過程,從可運行的程序系統出發,運用解 密、反彙編、系統分析等多種計算機技術,對軟體的結構、流程、算法、 代碼等進行逆向拆解和分析,推導出軟體產品的原始碼、設計原理、結構、 算法、處理過程、運行方法及相關文檔等。
  • 逆向分析,計算機世界中的九陰真經
    逆向工程,又稱逆向技術,是一種產品設計技術再現過程,即對一項目標產品進行逆向分析及研究,從而演繹並得出該產品的處理流程、組織結構、功能特性及技術規格等設計要素,以製作出功能相近,但又不完全一樣的產品。逆向工程源於商業及軍事領域中的硬體分析。其主要目的是在不能輕易獲得必要的生產信息的情況下,直接從成品分析,推導出產品的設計原理。
  • Go二進位文件逆向分析從基礎到進階——綜述
    再加上 Go 語言的獨特的函數調用約定、棧結構和多返回值機制,使得對 Go 二進位文件的分析,無論是靜態逆向還是動態調式分析,都比分析普通的二進位程序要困難很多。不過,好消息是安全社區還是找到了針對性的方法,讓安全分析人員對 Go 語言二進位文件的逆向變得更加輕鬆。最開始有人嘗試過針對函數庫做符號 Signature 來導入反彙編工具中,還原一部分二進位文件中的函數符號。
  • 逆向分析基礎知識詳解(教你如何分析軟體)
    簡單來講,對軟體進行分析並搞清楚其行為的工作就叫做「逆向工程」。逆向是指對軟體進行分析,其對象不僅限與惡意軟體,因此也不一定和計算機安全相關,譬如:license的繞過、遊戲金手指等。都屬於通過逆向分析繞過或篡改內部數據達到所需目標。
  • 網絡安全紅藍對抗——「CobaltStrike」應用攻擊手段實例分析
    網絡安全紅藍對抗——「釣魚偽裝」攻擊手段實例分析本期為第四期如何防禦安恆APT預警平臺,安恆APT預警平臺能夠發現已知或未知的威脅,APT預警平臺的實時監控能力能夠捕獲並分析郵件附件投遞文檔或程序的威脅性,並能夠對郵件投遞,漏洞利用、安裝植入、回連控制等各個階段做強有力的監測。
  • 安卓逆向——APK安裝流程
    很多學習安卓逆向的朋友大多都會卡在安卓apk上,今天小生就來給大家講解一下,安裝安裝方式:⑴系統程序安裝⑵通過Android市場安裝⑶手機自帶安裝前三種方式大家一定都會的,接下來我們就詳細講解使用ADB安裝APK的過程安裝過程:首先複製APK安裝包到/data/app目錄下,解壓並掃描安裝包,把dex文件(Dalvik字節碼)保存到/data
  • 酷派安卓手機被指存有後門:可自動安裝應用
    新浪手機訊 12月18日上午消息,國外媒體9to5Google消息稱,安全調查公司帕洛阿爾託(Palo Alto)近日發現中國手機廠商酷派故意在其Android手機設備中設置後門,目前這一後門所引起的安全隱患涉及超過1000萬用戶。
  • 自學Android逆向的學習難點
    第四步:掌握平時常用的一些逆向分析工具,如IDA、FRIDA;Java層分析工具,如JEB;So層分析工具,如ida、frida hook libart等等。了解jni、apk、ndk等等,知道apk是怎麼開發生成怎麼安裝怎麼運行。3. 文件結構4. Java層逆向5. Native層逆向6. Apk保護機制和策略7. 反調試和反-反調試8. Hook框架9. 常見加解密算法、協議加解密算法10. 系統源碼分析方法、流程11.
  • SpyNote5.0 Client_APK逆向分析
    準備工具對於SpyNote5.0 Client_APK的逆向分析卻鮮有人問津,下面我簡單介紹使用工具,然後開始進入逆向分析環節。1、SpyNote5.0(下載地址:留言或私信獲取)2、jadx-gui(下載地址:留言或私信獲取)3、androidkiller (下載地址:留言或私信獲取)3.