Статья Hide your CobaltStrike like a PRO! & Bypass Kaspersky End Point Security AV/EDR (PART 2)

[leonides]

i did everything correctly in part2 but im new to java
so after finish how i can run cobalt in the method in part2
i build the project and the artifact i got the new jar file but it wont start
can you please detail what to do after that
i tried to run it with xssagent and csagent but didint work
i know im asking alot
so thank you in advance and for all your effort
r1z

 

[r1z]

i did everything correctly in part2 but im new to java
so after finish how i can run cobalt in the method in part2
i build the project and the artifact i got the new jar file but it wont start
can you please detail what to do after that
i tried to run it with xssagent and csagent but didint work
i know im asking alot
so thank you in advance and for all your effort
r1z

What you have here is the original cobaltstrike.jar

Now check (~/ CrackSleeve + ~/ IDEA dll Obfuscate) to obfuscate your beacon.

start on the sleeves to modifiy the beacons with cobaltstrike keys i have included.. these all keys of cobaltstrike 4.x (exept 4.6) you can modify the beacon64.dll as the IDA how-to doc here...

 

[leonides]

1- modified cobalt inside idea

2- tried to run modified cobaltstrike from cmd

3- tried to run modified cobaltstrike with hook.jar and cobaltstrikecn.jar

4- tried to run modified cobaltstrike with xssagent.jar

all instructions in the article applied correctly beacons modified files placed in correct folders ... what to do now ?
кто-нибудь может помочь, пожалуйста !

 

[r1z]

1- modified cobalt inside idea
Посмотреть вложение 39086
2- tried to run modified cobaltstrike from cmd
Посмотреть вложение 39087
3- tried to run modified cobaltstrike with hook.jar and cobaltstrikecn.jar
Посмотреть вложение 39088
4- tried to run modified cobaltstrike with xssagent.jar
Посмотреть вложение 39089
all instructions in the article applied correctly beacons modified files placed in correct folders ... what to do now ?
кто-нибудь может помочь, пожалуйста !

Hi,

Don't mix everything here, modify beacon with sleeve is something else you cannot make it with loader or official jar file, also where i did speak about cobaltstrikecn.jar ? and why start it with hook.jar without verify the compile ?


also loader is something different, you cannot link the loader here, because basicly is different cracking type, just read the topic again, slowly with a glass of wine and you will understood it very well.

 

[leonides]

update >
runs successfully after compile aggressor and all project with jdk 1.8 u202
fail with >
jdk 11
jdk 13
jdk 16
jdk 17
jdk 18

 

[r1z]

update >
runs successfully after compile aggressor and all project with jdk 1.8 u202
fail with >
jdk 11
jdk 13
jdk 16
jdk 17
jdk 18

Now you can call this experiance, but it work with me with 1.8+17+18.

 

[Alonebalone]

Бро когда у тебя там релиз уже HCS ? Очень охото посмотреть что получилось .

 

[r1z]

Bro when is your HCS release there? Very eager to see what happened.

No release yet for the tool.. still under correting on other destro.

 

[apdcx0]

Всем привет!

r1z, yashechka, большое вам спасибо! Статья получилась очень крутой)
Прочитав статью, замотивировался, и захотел модифицировать кобальт, изменяя исходники под свои нужды. Но правильно забилдить проект так и не получилось. Автор и ребята, у кого получилось, не могли бы пожалуйста подсказать, что неправильно делаю?

Описываю проблему:
Все делал по статье. Java 17. С декомпилияцией проблем не было. Когда начинаю билдить артефакт, изменённые java файлы не присутствуют в забилденном jar-нике.

Но если указать сорсы вручную, и в артифакт добавить скомпилированный аутпут, проект попросту не билдится.

Заранее всем спасибо!

P.S. Для изменения небольших строк кода, мне помог байт-код редактор Recaf. Делается все просто и легко. Ссылки:
https://github.com/Col-E/Recaf
https://www.coley.software/Recaf-documentation/
https://www.coley.software/Recaf/doc-instructions.html

 

[rotorrr]

Af

~/ Modify checksum8

Файлы, содержащие контрольную сумму checksum8 веб-сервера cobaltstrike, составляют (2) файла.

1) Файл "WebServer.java" в папке "decompiler_cobaltstrike\cloudstrike".
2) Файл "CommonUtils.java" в папке "decompiler_cobaltstrike\common".

Нам нужно скопировать эти 2 файла в нашу папку "SRC" с тем же именем папки, где это "ДОЛЖНО БЫТЬ". Проверьте скриншот ниже.

Посмотреть вложение 37325

Теперь щелкните файл Webserver.JAVA и нажмите "ctrl+f", чтобы найти слово "checksum8".

Посмотреть вложение 37326

Выбранное выше является важной частью контрольной checksum8. Здесь нам нужно сделать 3 шага:

1) Удалите или сохраните значение (% 256L), поскольку мы собираемся изменить хеш-сумму наших стейджеров. Это больше не повлияет на нас.

2) Измените адрес хэш-суммы x32 и x64 на другое расширение, например... вы можете создать хеш-сумму uri маячка на основе изображений .JPG, или на основе .PNG, или на основе .JS, или .PDF, любого расширения с помощью этого скрипта. Я буду использовать расширение .PDF для этой демки.

3) После изменения хеш-суммы нам нужно изменить результат в WebServer.JAVA

public class EchoTest {
    publicstatic long checksum8(String text) {
        if (text.length() < 4) {
            return0L;
        }
        text = text.replace("/", "");
        long sum = 0L;
        for (int x = 0; x < text.length(); x++) {
            sum += text.charAt(x);
        }
        return sum;
    }
    publicstatic void main(String[] args) throws Exception {
        System.out.println(checksum8("xssr1zxssr1zxssr1z.pdf"));
    }
}

Здесь я упомянул адрес: xssr1zxssr1zxssr1z.PDF для нашего x32, который дает нам 2665, где по умолчанию для cobaltstrike было 92!

Вы можете изменить свой адрес, который хотите. Теперь все зависит от вашего воображения.

Посмотреть вложение 37327

Адрес второго стейджа x64: r1zr0cksr1zr0cksr1zr0cks.PDF, что дает нам 2664, а в cobaltstrike по умолчанию было 93!

Посмотреть вложение 37328

Чтобы проверить расчет кода, посетите сайт https://www.programiz.com/java-programming/online-compiler/

Важной частью здесь является то, что нам нужно изменить значение этих вычислений, поэтому на x64 и x86 могут иметь одинаковое значение или разные, это не имеет значения.

Примечание: если ваш маячок не подключился к сети после модификации, вам необходимо снова изменить расчет и протестировать его.. он не должен превышать 20 КБ для нормального выхода в сеть.

Теперь наша модификация будет только для значений (92 или 2665) и (93 или 2664) стейджеров, больше ничего не меняйте.

Посмотреть вложение 37329

Вы также можете удалить ( % 245L ), это не повлияет на стейджеры.. просто будет небольшая ошибка при компиляции.

Следующее изменение будет в "CommonUtils.JAVA". Дважды щелкните файл и найдите (checksum8) в функциях MSFURI + MSFURI_X64, как показано ниже:

В функции MSFURI x32 нам нужно добавить наш новый URI для стейджера x32

Посмотреть вложение 37330

В функции MSFURI_X64 нам нужно добавить наш новый URI для стейджера x64.

Посмотреть вложение 37331

После замены он должен выглядеть так.

Посмотреть вложение 37332

Теперь, как мы видим выше, мы меняем только 2 файла, функции cloudstrike веб-сервера и файл Commonutils в общем файле...

Нам нужно создать проект artifacts сейчас. Мы можем получить некоторую ошибку kz из-за изменения выше, но это нормально. Мы исправим это быстро, удалив функции ошибок.

Как видите, наша компиляция была успешно выполнена с помощью нашей библиотеки Lib/cobaltstrike.JAR ヽ(#`Д´)ﾉ

Посмотреть вложение 37333

~/ Обфускация маячков

Мы перейдем ко второй и самой важной части в запутывании нашей DLL-маячка!

Мы поместим наш "BeaconPayload.java" в наш "SRC" и убедимся, что структура правильная, как показано ниже:

Создайте папку внутри "SRC" и назовите ее "beacon" и вставьте в нее "BeaconPayload.JAVA", это должно выглядеть так.

src/beacon/BeaconPayload.java

Теперь откройте BeaconPayload.java в IDEA и посмотрите на картинку ниже, где шестнадцатеричное "2E" ( 0x2E ) в десятичной кодировке.

Посмотреть вложение 37334

Теперь нам нужно изменить этот десятичный код на что-нибудь другое. Для этой демки я изменил его на "77" ( 0x4D ) в шестнадцатеричном формате.

Посмотреть вложение 37335

Используйте этот сайт (http://rapidtables.com/convert/number/decimal-to-hex.html), чтобы преобразовать десятичное число в шестнадцатеричное.

Пока то, что мы сделали сейчас, это обфускация исходного кода загрузки DLL в CS. Теперь нам нужно модифицировать DLL с помощью CrackSleeve (https://github.com/Traxsw/CrackSleeve) + IDA (https://github.com/Traxsw/CrackSleeve).

~/ CrackSleeve

Я хочу упомянуть здесь, что для того, чтобы иметь возможность модифицировать DLL, вам нужен ключ, так как модифицированный cobaltstrike 4.5, который я зарелизю с помощью моего инструмента HCS, то мы будем работать с предыдущей DLL cobaltstrike 4.4, следуя этому методу, вы можете изменить cobaltstrike 4.x до 4,5.

Теперь нам нужно изменить DDL нашего маячка через CrackSleeve.

Поместите CrackSleeve.java и cobaltstrike.jar в одну папку и отредактируйте файл CrackSleeve.java с помощью IDEA.

Откройте CrackSleeve.java в IDEA и измените ключ, как показано ниже:

Посмотреть вложение 37336

OriginKey CS 4.4:

{94, -104, 25, 74, 1, -58, -76, -113, -91, -126, -90, -87, -4, -69, -110, -42}

Я хочу отметить здесь, что если вы хотите изменить маячки cobaltstrike 4.0 или 4.1, 4.3, 4.4, 4.5, то вы можете скачать оригинальные файлы cobaltstrike 4.1 из-за 4.5, а также я поставил ключи (кроме 4.5 до релиза инструмент), поэтому вы можете использовать любую версию и модифицировать ее, заменив в CrackSleeve.java ヽ(#`Д´)ﾉ

Скачать исходные файлы CS 4/x:

CS_4.x_original_XSS.7z - AnonFiles

anonfiles.com

Посмотреть вложение 37337

OriginKey



Ключи дешифрования



Теперь после изменения ключа в CrackSleeve.java выполните команду:

javac -encoding UTF-8 -classpath cobaltstrike.jar CrackSleeve.java

Затем

java -classpath cobaltstrike.jar;./ CrackSleeve decode

Затем, если ваш ключ CS правильный, вы найдете DLL для расшифровки внутри папки.

Resources/Decode/sleeve

~/ Обфускация IDEA dll

Откройте IDA и начните с любой DLL, которую вы хотите изменить (я выбираю beacon.dll).

Посмотреть вложение 37338

Ищите через ( ALT+T ) для ( 2E -> найти все вхождения ).

Посмотреть вложение 37339

Найдите "XOR" и нажмите на него, затем перейдите в "Edit -> Patch program --> Change byte .

Посмотреть вложение 37340

Меняйте 2E на любое другое значение которое хочешь. Я выбираю 9F.

2E XOR

Посмотреть вложение 37341

9F XOR

Посмотреть вложение 37342

После редактирования подтвердите.

Посмотреть вложение 37343

Затем примените патч.

Посмотреть вложение 37344

НЕ СОХРАНЯЙТЕСЬ! Пропустите это.

Теперь нам нужно зашифровать нашу модифицированную DLL через CrackSleeve, выполнить эту команду и скопировать sleeve внутрь проекта IDEA.

java -classpath cobaltstrike.jar;./ CrackSleeve encode 5e98194a01c6b48fa582a6a9fcbb92d6

Посмотреть вложение 37345

После того, как подтвердите ту же процедуру для остальной части DLL в папке sleeve , откройте свою IDEA и следуйте картинке (скопируйте sleeve у внутри проекта IDEA).

Посмотреть вложение 37346after successfulll checksum8 build how can we compile the source to cobaltstrike.jar file

 

[rotorrr]

after building this how do we get a complete cobalttrike.jar file again thanks explain in detail though

 

[r1z]

all explained in topic, read it again with glass of wine.

 

[rotorrr]

Nice topic, bro. this is much easier to read and understand your topic in english (not translated russian :P). keep going!

Download CS 4/x original files:


Код:


https://anonfiles.com/N3kdH1idy9/CS_4.x_original_XSS_7z



http://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/attachments/36446/
pass word for this files please

 

[rotorrr]

Посмотреть вложение 39315
after building this how do we get a complete cobalttrike.jar file again thanks explain in detail though

also software server match error 4.4 sever is whats available can any one share please

 

[UrgodFather]

java -classpath cobaltstrike.jar;./ CrackSleeve encode CustomizeString

This command gives me an error when I run it

 

[r1z]

java -classpath cobaltstrike.jar; ./ CrackSleeve encode CustomizeString

This command gives me an error when I run it

run it on c:\cracksleeve

don't make whitespaces for compile/decompile correction

 

[C0rtex]

webserver.java, выдает с ошибками, из за этого невозможно компилировать модули а так же сам cs.jar, не понимаю или кривой декомпилятор IntelliJ, или хз, используется jdk 18

 

[r1z]

webserver.java, gives errors, because of this it is impossible to compile modules as well as cs.jar itself, I don’t understand either the crooked IntelliJ decompiler, or xs, jdk 18 is used

What error you have? did you try remove the lines of errors ? try and if not work make screenshot.

 

[UrgodFather]

run it on c:\cracksleeve

don't make whitespaces for compile/decompile correction

Thx！！！！！
I solved it, be sure to run your command statement in a cmd command window, otherwise it reports an error

 

[UrgodFather]

However, since I've been using CrackSleeve encryption, running it reports a missing auth file. I use 4.3 auth in the same directory, it will show decryption error, please answer again! Thanks again!

What error you have? did you try remove the lines of errors ? try and if not work make screenshot.