Проблема с нагрузкой Cobalt Strike

[horcrux]

Вообщем такая проблема. Доставляю нагрузку с помощью рассылки, отстук идёт все отлично. НО нагрузка живёт буквально 1-2мин и перестаёт отстукивать, независимо от того использую я какой-либо инструмент или нет( inject в другие процессы не спасает,умирают оба закрепа)

Нагрузка шлю через лодырь, тесты на своих машинах проводил всё работает как и должно.

 

[Krypt0n]

Вообщем такая проблема. Доставляю нагрузку с помощью рассылки, отстук идёт все отлично. НО нагрузка живёт буквально 1-2мин и перестаёт отстукивать, независимо от того использую я какой-либо инструмент или нет( inject в другие процессы не спасает,умирают оба закрепа)

Нагрузка шлю через лодырь, тесты на своих машинах проводил всё работает как и должно.

Какая версия кобы?

 

[horcrux]

Какая версия кобы?

4.3

 

[ORCA]

In general, such a problem. I deliver the load using the mailing list, everything goes fine. BUT the load lives literally for 1-2 minutes and stops tapping, regardless of whether I use any tool or not (injecting into other processes does not save, both fasteners die)

I send the load through a quitter, tests on my machines carried out everything works as it should.

hey did u tried turning off the av to know if its from the server or from the av that is killing the connection?
[plus try generating a normal exe payload from cobalt strike and turn the av off to test it, that should work]
.... if u are interested in undetectable loader u should check my github at orca666

 

[BadMonkey]

probably EDR or AV detecting something malicous

 

[wav]

Про антивирусы не слышал НЕ? ))

 

[Krypt0n]

Про антивирусы не слышал НЕ? ))

Так АВ сразу же блокает кобу даже не давая ей запуститься.

 

[wav]

Не все АВ сразу видят рантайм.

 

[Pernat1y]

Так АВ сразу же блокает кобу даже не давая ей запуститься.

Не всегда

 

[horcrux]

Про антивирусы не слышал НЕ? ))

нет )) меня в гугле забанили ))

 

[horcrux]

короче говоря нагрузка долетает до жертвы отлично, но стоит инжекнутся в другой процесс дефендер палит это действие как малварь и нагрузка умирает

 

[m4key]

сделай патч amsi.dll

 

[ORCA]

in short, the load reaches the victim perfectly, but as soon as it is injected into another process, the defender fires this action like malware and the load dies

thats a typicall problem,
try creating powershell.exe, using CreateProcessA, with these 2 flags: CREATE_SUSPENDED | CREATE_NO_WINDOW
then get its handle to use for injection and get the thread handle for later, use traditional NtAllocateVirtualMemory, NtWriteVirtualMemory, NtProtectVirtualMemory
then use NtQueueApcThread
and sleep for some time and then use ResumeThread for the thread u got when creating powershell.exe.

 

[diletant]

вот ты и познакомился с ханипотами

 

[horcrux]

Господа, есть ещё решения проблемы с умирающей нагрузкой? Готов купить данное решение

 

[m4key]

Если у тебя проблема только с WD тогда могу сделать патч amsi, пиши в pm.

Но если у тебя боты с email рас. то скоее всего это ханипоты, как чел выше написал.

 

[petroglyph]

Если у тебя проблема только с WD тогда могу сделать патч amsi, пиши в pm.

Но если у тебя боты с email рас. то скоее всего это ханипоты, как чел выше написал.

Красивая аватарка у тебя

 

[Krypt0n]

Красивая аватарка у тебя

А я вас спутал... Думал куда его сообщения и реакции делись...

 

[r1z]

4.3

поведение вашего маяка, обнаруженное EDR или AV, обязательно используйте чистый CS; попытаться построить из https://xss.pro/threads/55190/# или https://xss.pro/threads/54879/ и не забудьте скрыть свой трафик с помощью C2 Concealer или доверенного CDN; Пример: туннель с расширенными облаками.

 

[horcrux]

поведение вашего маяка, обнаруженное EDR или AV, обязательно используйте чистый CS; попытаться построить из https://xss.pro/threads/55190/# или https://xss.pro/threads/54879/ и не забудьте скрыть свой трафик с помощью C2 Concealer или доверенного CDN; Пример: туннель с расширенными облаками.

Вопрос, как именно очищалась ваша версия cs?
В чем ее беспаленвность?