魔改CobaltStrike ：上线就跟回家一样 - 〖系统安全〗

z3960

级别: 茶馆馆主

发帖: 770593

飞翔币: 207694

威望: 215657

飞扬币: 2511651

信誉值: 8

只看楼主更多操作 0 发表于: 2021-03-29

一、概述有老哥看了前几天发的便秘帖子后，说鸡哥不讲武德，shellcode没发出来，卡巴都没有过，帖子就这样结束了。这次一起奉上，CS通杀所有常见杀软上线运行，相关文件以上传到：https://github.com/mai1zhi2/CobaltstrikeSource/二、效果展示2.1火绒执行shellcode部分：

执行到反射dll:

运行上线：

火绒沦为摆设：

2.2360执行shellcode部分：

执行到反射dll:

运行上线：

360沦为摆设：

2.3腾讯管家执行shellcode部分：

执行到反射dll:

运行上线：

软件管家沦为摆设：

2.4卡巴执行shellcode部分：

执行到反射dll:

运行上线：

卡巴沦为摆设：

2.5麦咖啡执行shellcode部分：

执行到反射dll:

运行上线：

麦咖啡沦为摆设：

三、总结3.1为什么能免杀1、Shellcode的使用设置从Shellcode转C代码，再通过c还原的Shellcode，最后所得的shellcode没有经过绕过混淆和加密也是一样妥妥的免杀，关于c代码到shellcode的生成可以参考之前所发shellcode框架的文章。2、Beacon的免杀改进目前主要为这两个特征：Default.profile的特征：

与导出函数RefletiveLoader名字，我在common/Sclisten.java的export()方法修改了导出函数的名称：

3.2注意事项1、请勿使用stageless模式，因为该模式的生成规则不相同。2、请勿执行在该项目mimikaz、bypassUAC等敏感行为，因为项目中这些功能还没进行免杀处理的，以防止掉线。因此我们需要对这些功能进行重写并使其免杀。3、项目只是修改了相应的文件，无留后门等非法行为，老哥们可以放心重打包使用，不放心也可以比对文件，最后，大家护网顺利。