C&C Cobalt Strike вопрос

[Jubby]

Всем привет. Разбираюсь с кобальтом. Возник такой вопрос. У меня есть кастомный exe файл. Можно ли в кобе через команду jump грузить свой файл. Быть может через скрипт? Потому что jump генерит собственный exe который палится edr. Или посоветуйте еще способы закрепа на других пк в сети через кобу

 

[darw1n]

я вот конечно никогда не был в сетях, но недавно увидел топик где кобу считают кринжом, интресно мнение экспертов какой C2 все используют ?

 

[ft9zh1]

Всем привет. Разбираюсь с кобальтом. Возник такой вопрос. У меня есть кастомный exe файл. Можно ли в кобе через команду jump грузить свой файл. Быть может через скрипт? Потому что jump генерит собственный exe который палится edr. Или посоветуйте еще способы закрепа на других пк в сети через кобу

через jump скорее всего нет. можно использовать remote-exec и там выбирать метод и полезную нагрузку

 

[LLIyTka]

Всем привет. Разбираюсь с кобальтом. Возник такой вопрос. У меня есть кастомный exe файл. Можно ли в кобе через команду jump грузить свой файл. Быть может через скрипт? Потому что jump генерит собственный exe который палится edr. Или посоветуйте еще способы закрепа на других пк в сети через кобу

Грузишь файл через файл браузер, и в шолле его через copy \\iphost\ разносишь и запускаешь через вмик, че велосипед то придумывать?

 

[xargs]

какой C2 все используют ?

очень часто стал встречать Sliver но думаю профи используют самописные решения, не с2.

 

[nixz]

я вот конечно никогда не был в сетях, но недавно увидел топик где кобу считают кринжом, интресно мнение экспертов какой C2 все используют ?

простенькое без обходов https://github.com/Adaptix-Framework/AdaptixC2 кроссплатформенно

 

[nixz]

Всем привет. Разбираюсь с кобальтом. Возник такой вопрос. У меня есть кастомный exe файл. Можно ли в кобе через команду jump грузить свой файл. Быть может через скрипт? Потому что jump генерит собственный exe который палится edr. Или посоветуйте еще способы закрепа на других пк в сети через кобу

MeshCentral

meshcentral.com

закрепись, на всякий случай, кобой в режиме сайлент

 

[Knight]

Всем привет. Разбираюсь с кобальтом. Возник такой вопрос. У меня есть кастомный exe файл. Можно ли в кобе через команду jump грузить свой файл. Быть может через скрипт? Потому что jump генерит собственный exe который палится edr. Или посоветуйте еще способы закрепа на других пк в сети через кобу

psexec on target, or wmi

 

[weaver]

darw1n да любой пост-эксплуатационный инструмент в принципи нормальный (если агент не палится), и если посмотреть что у них находится под капотом, как они генерируют пайлоады и агенты, то я бы их разделил бы на две категории

Статические и динамические.

Первые используют уже готовые наборы байтов, например

reverse_shell = r"\x90\x90\x90\x90\x90\x90\x90"
bind_shell = r"\x90\x90\x90\x90\x90\x90\x90"
back_connect = r"\x90\x90\x90\x90\x90\x90\x90"
print(bind_shell)

Тут жестко определены пайлоады и генерируются они просто обычной печатью, комадной итд

А есть другие, динамические, они наоборот, сначала переводят асм код в байт-код и затем уже происходит печать этого пайлоада.

    xor    %eax,%eax
    push   %eax  
    push   $0x68732f2f
    push   $0x6e69622f
    mov    %esp,%ebx
    push   %eax  
    push   %ebx  
    mov    %esp,%ecx
    mov    $0xb,%al
    int    $0x80

Этот код уже преобразуется в байт-код

"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\xb0\x0b\xcd\x80"

Минусы первых (статических) в том, что работать с байтами очень не удобно, пайлоад может так же формироваться из цепочки байтов

payload = r""
# Get kernel32.dll base address
payload += r"\x48\x31\xff"         # xor rdi, rdi            - RDI = 0x0
payload += r"\x48\xf7\xe7"         # mul rdi                 - RAX&RDX =0x0
payload += r"\x65\x48\x8b\x58\x60" # mov rbx, gs:[rax+0x60]  - RBX = Address_of_PEB
payload += r"\x48\x8b\x5b\x18"     # mov rbx, [rbx+0x18]     - RBX = Address_of_LDR
payload += r"\x48\x8b\x5b\x20"     # mov rbx, [rbx+0x20]     - RBX = 1st entry in InitOrderModuleList / ntdll.dll
payload += r"\x48\x8b\x1b"         # mov rbx, [rbx]          - RBX = 2nd entry in InitOrderModuleList / kernelbase.dll
payload += r"\x48\x8b\x1b"         # mov rbx, [rbx]          - RBX = 3rd entry in InitOrderModuleList / kernel32.dll
payload += r"\x48\x8b\x5b\x20"     # mov rbx, [rbx+0x20]     - RBX = &kernel32.dll ( Base Address of kernel32.dll)
payload += r"\x49\x89\xd8"         # mov r8, rbx             - RBX & R8 = &kernel32.dll

#.... еще какой-то код

print(payload)

Это настоящие байтоёбство.... Представь что тебе нужно каждый раз менять\переписывать какой-то участок кода ...

В динамических такого нет. Там сразу манипуляция асм кодом идет. Однако статические генераторы более точны, чем динамические, так как не существует 100% транслятора, который мог бы не ошибаться, при конвертирование ассемблерных инструкциий в байт-код.

Вывод

Статические генераторы, неудобные, но надежные.
Динамические генераторы, удобные, но ненадежные.

UPD: Статья на тему "динамической кодогенерации"...
Шелл-код на заказ. Используем транслятор Keystone-Engine для генерации шелл-кода.

 

[darw1n]

.

Спасибо

 

[cryrsp]

Так есть функция загрузки через execute-assembly или чет такое было в кобе давно не юзал и ты по сути свой exe не грузишь не касаясь диска а сразу в память он под капотом юзает CLR и у тебя билд по сути в памяти происходит но твоей exe должен быть на шарпах написан иначе не пролезешь потому что c/c++ у них проблемка с этим есть можно но через костыли.Ну и вообще мой совет забудь про кобу и копай в сторону другого решения она ужасно палиться тем как стучит ну и так же по энторпии шеллкода если в свой дропер кидаешь поэтому тебе надо либо брать opensource где ты можешь кастомить сетевую часть так как сеть это не только про обход av/edr а так же обход и других защитных решений которые тебя ловят ну если у тебя сети до 100кк и сфера не особо технологичная там и кобы хватит.

Это было давно и неправда, но раньше при нормальном профиле трафика коба вполне себе стучала, а с дефолтным выносилась аверами. Как сейчас не знаю.