A5852A300E402AD8AA973E1147D024FFE7DCF34BCC203C7B9DFB8560A3B10361F03703C2F3F6
Sure. Just added you
For me too pls
я злой и общаться со мной очень тяжело...
да все же на поверхности лежало же и я этого и не скрывал, в названии темы же было все сказано: CobaltStrike от А до
посмотрел я эти файлы слитые в паблик: исходники r1z и релиз GhostSec
на счет троянов и возможных закладок - я так глубоко не копал, смысла в этом вообще нет...
итак, расклад такой: (имхо)
начнем с релиза GhostSec
если судить по содержимому cobaltstrike.jar, то это очень похоже, что билдился он на основе оригинального CobaltStrike v4.4
почему он такой кастрированный получился, - да все дело в лицензии...
если сделать релиз cobaltstrike.jar с cobaltstrike.auth, то когда автор CobaltStrike'а посмотрит содержимое файла cobaltstrike.auth, он сразу поймет кто слил софт и лишит его лицензии, поэтому никто не хочет так рисковать.
без cobaltstrike.auth CobaltStrike работать не будет и точка.
почему этот кастрированный релиз имеет приписку Cracked and packed by #GhostSec
для того чтобы избавиться от данных из cobaltstrike.auth был декомпилирован оригинал CobaltStrike v4.4 и изменен код так, чтобы избавиться от watermark'а
по всей видимости для декомпиляции юзался какой-то древний декомпилятор и некоторые переменные не распознал, короче напортачил.
после сделанных изменений в коде, была сделана попытка обратно скомпилировать CobaltStrike и вот что-то пошло не так и обратно скомпилировать не получалось и вот началось и понеслось трам-тарарам и. и.. и... очень много файлов было удалено из исходного кода, а именно относящиеся к GNU/Linux, для того чтобы хоть как-то без проблем скомпилить.
отсюда и растут ноги:
r1z понял эту проблему и решил сделать фикс, чтобы этот кастрированный релиз начал работать на GNU/Linux, ебался он пару дней обратно добавляя удаленные файлы и вроде как у него получилось, но... и у него что-то пошло не так...
он решает участвовать в конкурсе и пишет статью, но там в статье осталось бляцкое словечко аттач и сучка-гугля его перевела правильно.
статья есть, а аттача нет - народ побежал просить личный... видимо волна была такой большой, что если не давать - не будут голосовать, и вот он решает (каждому "давать", чтобы поломалась кровать) создать эту тему...
но есть правила, а они гласят:
и теперь он не может понять почему все так на него ополчились...
так могли сделать все участники конкурса - статью зарелизить, а файлы для статьи раздавать только тем, кто за него проголосовал - тогда бы все были бы в равных условиях... но ВСЕ же выложили сразу свой стафф...
надеюсь, r1z сможет осознать и принять свою ошибку без обид на кого-то из людей с форума...
вернемся к сабжу и копнем глубже...
для того чтобы избавиться от watermark'а в коде были сделаны следующие изменения:
decrypt - это массив данных где: 1, -55, -61, 127 - это дата окончания действия лицензии, а вот следующие четыре нуля - это и есть тот самый затертый watermarkКод:byte[] decrypt = new byte[]{1, -55, -61, 127, 0, 0, 0, 0, 100, 1, 0, 27, -27, -66, 82, -58, 37, 92, 51, 85, -114, -118, 28, -74, 103, -53, 6}; и большая часть кода удаляется вообще.
но нули тут нельзя использовать, иначе CobaltStrike будет вместо watermark'а вставлять EICAR
то есть можно было все что угодно кроме нулей, но получилось, как всегда, через... я об этом подробно писал в первой статье, но мы еще вернемся к моим статьям из конкурса чуть позже...Код:while(var3.length() < var2) { if (this.watermark == 0) { var3.append("5O!P%@AP[4\\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*\u0000"); } else { var3.append((char)CommonUtils.rand(255)); } }
и дальше еще было сделано одно изменение:
файл cobaltstrike.auth был спрятан в самом cobaltstrike.jar в директории resourcesКод:protected static void Setup(byte[] var0) { byte[] authFileResource = CommonUtils.readResource("resources/cobaltstrike.auth"); B = new SleevedResource(authFileResource); }
из файла cobaltstrike.auth было удалено все, кроме ключа расшифровки файлов из директории sleeve (подробнее об этом можно узнать из моих статей)
ну и теперь мы подошли к самому главному, а именно к моим статьям.
в первой статье в аттаче есть исходники при помощи них можно легко создать рандомный cobaltstrike.auth (как и подробное описание как все нужно сделать) не опасаясь слива лицензии в паблик.
то есть этот релиз я и делал специально, чтобы любой купивший CobaltStrike мог сделать релиз CobaltStrike'а воспользовавшись инфой из статей и при этом не потеряв лицензии.
и при этом иметь большой бонус - избавиться от watermark'а который помечает все что только можно...
если все это сделать, автор CobaltStrike'а НИКОГДА не узнает, кто слил и при этом не сможет слить ваши данные для вашей идентификации и отслеживания ваши серверов...
ну и еще возможно кто-то просто не сможет сделать как написано в статьях, просто уровень знаний не позволит, и если есть тут кто-то смелый давайте мне оригинальный файл cobaltstrike.jar версии 4.4 с 7af9c759ac78da920395debb443b9007fdf51fa66a48f0fbdaafb30b00a8a858
этот файл у всех купивших одинаковый - вас никак не отследить.
я же сам сделаю рандомную лицензию и нужные файлы, ничего не буду менять в оригинальном файле cobaltstrike.jar, но напишу подробную инструкцию (понятную даже ребенку) что нужно сделать, чтобы все заработало как часы.
все будут довольны и будут юзать официальный релиз.
вы же получаете защиту от отслеживания ваших действий по watermark'у и т. д.
у меня все
