• XSS.stack #1 – первый литературный журнал от юзеров форума

malware Cobalt Strike

Отслеживать
tabac

tabac

CPU register
Пользователь
Регистрация
30.09.2018
Сообщения
1 610
Решения
1
Реакции
3 333
Cobalt Strike v3.12

Teamserver Launch Script
Код: 
#!/bin/bash
#
# Start Cobalt Strike Team Server
#

# make pretty looking messages (thanks Carlos)
function print_good () {
   echo -e "\x1B[01;32m[+]\x1B[0m $1"
}

function print_error () {
   echo -e "\x1B[01;31m[-]\x1B[0m $1"
}

function print_info () {
   echo -e "\x1B[01;34m[*]\x1B[0m $1"
}

# check that we're r00t
if [ $UID -ne 0 ]; then
print_error "Superuser privileges are required to run the team server"
exit
fi

# check if java is available...
if [ $(command -v java) ]; then
true
else
print_error "java is not in \$PATH"
echo "    is Java installed?"
exit
fi

# check if keytool is available...
if [ $(command -v keytool) ]; then
true
else
print_error "keytool is not in \$PATH"
echo "    install the Java Developer Kit"
exit
fi

# generate a certificate
# naturally you're welcome to replace this step with your own permanent certificate.
# just make sure you pass -Djavax.net.ssl.keyStore="/path/to/whatever" and
# -Djavax.net.ssl.keyStorePassword="password" to java. This is used for setting up
# an SSL server socket. Also, the SHA-1 digest of the first certificate in the store
# is printed so users may have a chance to verify they're not being owned.
if [ -e ./cobaltstrike.store ]; then
print_info "Will use existing X509 certificate and keystore (for SSL)"
else
print_info "Generating X509 certificate and keystore (for SSL)"
keytool -keystore ./cobaltstrike.store -storepass 123456 -keypass 123456 -genkey -keyalg RSA -alias cobaltstrike -dname "CN=Major Cobalt Strike, OU=AdvancedPenTesting, O=cobaltstrike, L=Somewhere, S=Cyberspace, C=Earth"
fi

# start the team server.
java -XX:parallelGCThreads=4 -Dcobaltstrike.server_port=50050 -Djavax.net.ssl.keyStore=./cobaltstrike.store -Djavax.net.ssl.keyStorePassword=123456 -server -XX:+AggressiveHeap -XX:+UseParallelGC -classpath ./cobaltstrike.jar server.TeamServer $*

Скачать:
У вас должно быть более 10 сообщений для просмотра скрытого контента.
https://www.sendspace.com/file/2wq20o
password: naG3FW7h6^+^jZ%UYn


Версия полная, без триальных лимитов.
 
Тем кто чистил
Код: 
$eicar = ''
Просто на стринг eicar некоторые защиты реагируют, лучше удалить кто будет пользовать дочистите в ps1 файлах
Там еще сигнатура добавляется через watermark, он должен быть в конфиге но в триальной версии обьявлен прямо java коде как 0, а если он 0 то добавляется сигнатура в сам pe файл при билде.
P.S Без Artifact Kit ( Artifact Kit это исходники win части то есть имплантов и плагинов ) он довольно "шумный" пусть в нем уже и есть возможность править стринги, обфусцировать и блокировать использование некоторых api ( CreateRemoteThread) без правки исходников но это мало от чего спасает а учитывая что 3.12 китайцам в руки попала то думаю скоро и слип его новомодный будут видеть не только edr.
 
ElderDrochila сказал(а):
Баш пишет в скрипте ошибки, как его включить?
Какие ошибки? В каком скрипте? Что включить?
Звучит как: у меня тут компилятор ошибки выдал, как исправить?
Это все-же форум, чтобы получить ответ опишите проблему как можно более конкретно в нейтральном стиле, но держите в голове что вам не кто не чего не должен, такие вопросы обычно не остаются без ответа а авторы без помощи.
 
sii сказал(а):
Какие ошибки? В каком скрипте? Что включить?
Звучит как: у меня тут компилятор ошибки выдал, как исправить?
Это все-же форум, чтобы получить ответ опишите проблему как можно более конкретно в нейтральном стиле, но держите в голове что вам не кто не чего не должен, такие вопросы обычно не остаются без ответа а авторы без помощи.
Не хотел показаться грубым, вообщем при запуске баш скрипта, который "Teamserver Launch Script" выдает ошибку, права настроены. Я понял что он на баше из синтаксиса. Вот ошибки, к сожалению баш я знать не знал потому сам проблем решить не могу
1547128985329.png
 
ElderDrochila сказал(а):
Не хотел показаться грубым, вообщем при запуске баш скрипта, который "Teamserver Launch Script" выдает ошибку, права настроены. Я понял что он на баше из синтаксиса. Вот ошибки, к сожалению баш я знать не знал потому сам проблем решить не могу
Посмотреть вложение 2422
Очень странно, у меня zsh матерился подобным образом но это было давно и не на кобальт, попробуйте просто chmod +x teamserver после запустите ./teamserver.
Потом вывод вместе с скрином и версией ОС если будет ошибка выложите.
P.S Проверьте полностью ли вы скрипт скопировали, первая строка не комментарий а указатель на среду выполнения.
 
ElderDrochila сказал(а):
Не хотел показаться грубым, вообщем при запуске баш скрипта, который "Teamserver Launch Script" выдает ошибку, права настроены. Я понял что он на баше из синтаксиса. Вот ошибки, к сожалению баш я знать не знал потому сам проблем решить не могу
Посмотреть вложение 2422
Суть проблемы в том, что под на платформе Windows редакторы добавляют символ «возврата каретки» CR/LF. Не все редакторы под Linux виндовый перенос строки умеют отображать, но он там есть, о чем свидетельствует сообщение об ошибке. В итоге в скрипте мы получаем, например первуют строку вместо:
?
1#!/bin/sh

Нечто подобное:
?
1#!/bin/shVM

А ввиду того, что большинство редакторов в Linux эти символы не отображают, о чем я сказал выше, то и диагностировать проблему не легко.

Удаляем возврат каретки с использованием tr:

cat your-script.sh | tr -d '\r' > corrected-your-script.sh

Ненавистный Линуксу символ должен быть удален

И меняем в скрипте parallelGCThreads=4 на ParallelGCThreads=4

надо поковыряться в этом кобалте а то мож тут и не пахнет 3.12 а дичь какая нибудь))))))))))))
 
Последнее редактирование:

Баг в Cobalt Strike много лет позволял специалистам следить за хакерами

Компания Fox-IT рассказала о том, как мелкий баг в серверном компоненте Cobalt Strike помогал следить за злоумышленниками с 2015 года.
xakep.ru xakep.ru
Veil сказал(а):
А чем старый Кобальт не устраивает? В новом по моему уже Метасплоит не прикрутишь?
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх