CobaltStrike魔改与增强

文章为匿名投稿，该文章仅限提供思路，具体实现请自行研究使用。

文章内用到的代码源码 详见末尾

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。

RedCode Team 拥有对此文章的修改和解释权如欲转载或传播此文章，必须保证此文章的完整性，包括版权声明等全部内容。未经作者允许，不得任意修改或者增减此文章内容，不得以任何方式将其用于商业目的。

CobaltStrike魔改与增强

写这篇文档的目的在于记录CS客户端和服务器的魔改过程，因为有些点随着时间的过去会逐渐淡忘，有这么一篇详实的魔改过程记录文档，无疑对团队和个人来说都是件益事。这篇文档将记录CS4.4版本的破解使用，特征消除，功能改造增强的实现过程。

第一部分-破解使用

网上已经有人公开了4.4版本的原版jar包和破解方法，见CobaltStrike 4.4原版+通用白嫖破解及汉化加载器^[1]。对于别人的公开不便评论，原本这个版本的原版jar包应该在一个小圈子里流传，后面被传出来了，也无所谓，反正迟早都要发生的。4.4版本由于class之间有循环校验文件完整性，导致4.3及之前版本的暴力替换class文件的破解方法失效，于是有师傅用java agent注入的形式动态替换内存当中的license实现白嫖。这位师傅就是Twi1ight^[2]。CSAgent实现了CS 4.X的通杀白嫖，实在牛逼，膜。

上面是CS4.4相关的有趣故事，接下来是如何使用破解补丁的具体过程。首先clone CSAgent^[3]到本地，然后IDEA打开。等待IDEA完成项目加载后，点击右侧maven选项，先执行compile，再执行single打包，生成破解补丁jar包。

执行完成后，生成jar包。

接下来复制一份完整的cs 4.x的目录，重命名为cobaltstrike4.4，然后替换该目录下的cobaltstrike.jar为cs4.4的原版jar包。将上面生成的破解补丁复制到目录下，重命名为CSAgent.jar。

替换cobaltstrike、teamserver、agscript、c2lint、cobaltstrike.bat文件中的解密key，cs4.4版本替换后的文件可以从release的1.2版本中下载。

#!/bin/bash## Start Cobalt Strike Aggressor Script# 文件 agscript
java -XX:ParallelGCThreads=4 -XX:+AggressiveHeap -XX:+UseParallelGC -classpath ./cobaltstrike.jar -javaagent:CSAgent.jar=5e98194a01c6b48fa582a6a9fcbb92d6 -Duser.language=en aggressor.headless.Start $*

#!/bin/bash## Check a Malleable C&C Profile# 文件 c2lint
java -XX:ParallelGCThreads=4 -XX:+UseParallelGC -classpath ./cobaltstrike.jar -javaagent:CSAgent.jar=5e98194a01c6b48fa582a6a9fcbb92d6 -Duser.language=en c2profile.Lint $1

#!/bin/bash## Start Cobalt Strike Client# 文件 cobaltstrike
java -XX:ParallelGCThreads=4 -XX:+AggressiveHeap -XX:+UseParallelGC -javaagent:CSAgent.jar=5e98194a01c6b48fa582a6a9fcbb92d6 -Duser.language=en -jar cobaltstrike.jar $*

; 文件 cobaltstrike.bat
java -XX:ParallelGCThreads=4 -XX:+AggressiveHeap -XX:+UseParallelGC -javaagent:CSAgent.jar=5e98194a01c6b48fa582a6a9fcbb92d6 -Duser.language=en -jar cobaltstrike.jar

#!/bin/bash## Start Cobalt Strike Team Server# 文件 teamserver
# make pretty looking messages (thanks Carlos)function print_good () {    echo -e "x1B[01;32m[+]x1B[0m $1"}
function print_error () {    echo -e "x1B[01;31m[-]x1B[0m $1"}
function print_info () {    echo -e "x1B[01;34m[*]x1B[0m $1"}
# check that we're r00tif [ $UID -ne 0 ]; then    print_error "Superuser privileges are required to run the team server"    exitfi
# check if java is available...if [ $(command -v java) ]; then    trueelse    print_error "java is not in $PATH"    echo "    is Java installed?"    exitfi
# check if keytool is available...if [ $(command -v keytool) ]; then    trueelse    print_error "keytool is not in $PATH"    echo "    install the Java Developer Kit"    exitfi
# generate a certificate    # naturally you're welcome to replace this step with your own permanent certificate.    # just make sure you pass -Djavax.net.ssl.keyStore="/path/to/whatever" and    # -Djavax.net.ssl.keyStorePassword="password" to java. This is used for setting up    # an SSL server socket. Also, the SHA-1 digest of the first certificate in the store    # is printed so users may have a chance to verify they're not being owned.if [ -e ./cobaltstrike.store ]; then    print_info "Will use existing X509 certificate and keystore (for SSL)"else    print_info "Generating X509 certificate and keystore (for SSL)"    keytool -keystore ./cobaltstrike.store -storepass Microsoft -keypass Microsoft -genkey -keyalg RSA -alias cobaltstrike -dname "CN=*.microsoft.com, OU=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=WA, C=US"fi
# start the team server.java -XX:ParallelGCThreads=4 -Dcobaltstrike.server_port=50050 -Dcobaltstrike.server_bindto=0.0.0.0 -Djavax.net.ssl.keyStore=./cobaltstrike.store -Djavax.net.ssl.keyStorePassword=Microsoft -server -XX:+AggressiveHeap -XX:+UseParallelGC -classpath ./cobaltstrike.jar -javaagent:CSAgent.jar=5e98194a01c6b48fa582a6a9fcbb92d6 -Duser.language=en server.TeamServer $*

现在已经破解完成，可以启动teamserver和client查看效果。

生成木马上线测试。

成功上线。

测试执行命令。

可开启汉化选项，复制CSAgent提供的resources和script目录到cs4.4的目录下，关闭客户端重新启动即可汉化。

第二部分-特征消除

逆向环境搭建

• idea pro

• java-decompiler

使用idea安装目录下的plugins/java-decompiler/lib/java-decompiler.jar文件反编译cobaltstrike.jar，反编译完成得到cs的java源码，需要注意的是，得到的源码是一个jar的压缩包，解压即可得到源码。

java -cp IDEA_HOME/plugins/java-decompiler/lib/java-decompiler.jar  org.jetbrains.java.decompiler.main.decompiler.ConsoleDecompiler -dgs=true <src.jar> <dest dir>

接下来新建一个IDEA项目，jdk版本选择1.8。

下一步勾选Create Project from template.

创建完成项目之后，解压缩源码jar包中的代码到项目的src目录下。完成这些，初步的逆向分析环境就搭建好了。

teamserver登录接口

启动CS TeamServer的过程中，会看到其日志打印提示信息

[*] SHA256 hash of SSL cert is: d1a004dba75db4c313f6d6ce33181418112c4186a6cf1c58b4c12bf4a427ba46

可以通过前面的提示信息SHA256 hash of SSL cert is在代码中搜索，定位到TeamServer启动的位置(server/TeamServer/A)。

其中SecureServerSocket var4 = new SecureServerSocket(var3, this.port)这行代码正是简历TCP TLS监听的代码。var3是程序监听的IP地址，如果在启动teamserver时没有指定，那么默认监听绑定的地址就是0.0.0.0。代码接下来便是对新连接的客户端请求进行处理的过程(server/TeamServer/A)。

对于每个连接的客户端请求，都会调用acceptAndAuthenticate方法去验证身份(ssl/SecureServerSocket/acceptAndAuthenticate)。跟进这个方法，继续分析。

最终调用了authenticate方法对新创建的连接进行认证，第一个参数是连接的socket对象，第二个参数是当前服务端设置的连接密码，第三个参数的客户端的IP地址(ssl/SecureServerSocket/authenticate)。跟进该方法，继续分析。

首先从socket请求中读取4字节的int型变量。如果读取到的数据与48879相等，那么继续后面的处理过程，否则就直接返回false，身份认证失败，关闭客户端的连接。因此，我们这里可以修改这一字段的值，改为我们自定义的其他值，以避免teamserver口令爆破和指纹识别的风险。

上面是teamserver端的处理过程，与之相对应的，客户端也有一段登录请求包的构造过程(ssl/SecureSocket/authenticate)，在修改服务端的同时，也要修改客户端，才能在修改完成之后，正常的用户通过修改后的客户端登录。

设置连接密码为admin123，启动teamserver。使用网上开源的cs登录密码爆破脚本分别爆破修改前和修改后的teamserver。

修改前的teamserver被爆破出密码为admin123。

修改后的teamserver无法被爆破出密码。

使用修改后的客户端可正常登录TeamServer。

分段beacon下载路径特征

使用分段的木马上线，木马会请求一个随机URI路径下载第二阶段的beacon文件，这个beacon文件就是CS的控制功能所在。

根据网上师傅们分享的URI检测的代码所在位置(cloudstrike/WebServer/checksum8)，按照师傅们提到的，修改这一部分的校验逻辑。

与之相对应，还需要修改另一处生成stager时获取URI的代码(common/CommonUtils/MSFURI)。

修改前手动下载beacon文件。

IDA中可打开查看shellcode内容。

修改后手动下载beacon文件。

生成默认的分段上线exe，执行上线成功。

64位程序上线成功。

另外还有一种方法，就是在不需要分段模式上线的时候kill掉管理站点下的stager，在需要的时候再开起来，这也是一种规避stager uri扫描的方法。

修改beacon配置信息的默认密钥

参考网上其他师傅公开的资料，beacon/BeaconPayload的beacon_obfuscate方法对beacon的配置信息进行了异或混淆，异或的key是固定的，3.x是0x69，4.x为0x2e。

这里的46的16进制就是0x2E。修改完服务端beacon的混淆密钥，与之对应，需要修改sleeve目录下的dll文件。这些DLL文件默认是加密的，使用ca3tie1^[4]师傅开发的 CrackSleeve^[5]程序解密这些DLL，在修改完密钥之后再加密回去即可。需要注意的是，在解密的时候需要将程序中默认的密钥改成4.4版本的。

其中以x64结尾的是64位文件，x86或者没有后缀名的为32位文件。使用IDA打开beacon.dll，搜索0x2e，找到之后修改成与服务端相同的密钥即可。

修改完成之后，选择Edit->Patch Program -> Apply patches to input file保存文件修改即可。类似的，其他dll文件也需要修改密钥。修改完成密钥之后，执行encode加密操作，重新将修改后的dll加密回去，然后替换原来jar包中的DLL文件即可。需要修改的文件有beacon、dnsb、extc2、pivot以及这些文件的x64版本。

注意，在替换jar包中的sleeve文件时，需要提前备份原来的文件，防止修改之后，出现错误，导致程序无法使用。

修改混淆密钥前，使用CobaltStrikeParser^[6]解析beacon的配置信息。

修改混淆密钥后再次解析。

生成32位、64位的分段exe程序上线成功。

其他一些特征修改

•.cobaltstrike.beacon_keys和cobaltstrike.store这两个文件不要使用默认的文件，删除后生成新的。•profile文件要换新的，启动服务端时记得加载，或者直接把jar包里面的默认配置给改了•开在公网的teamserver不要使用默认端口

第三部分-改造增强

shellcode自定义

ShellCode开发框架参考自快乐鸡哥^[7]师傅和鬼手^[8]师傅，两位师傅YYDS。之所以参考两位师傅的，是因为快乐鸡哥师傅的shellcode框架里没有生成x64的，而鬼手师傅的代码里有64位的。

两位师傅写的代码搜索API的算法区别也比较大，笔者觉得这里应该参考快乐鸡哥师傅的。快乐鸡哥师傅的搜索算法是先定位函数所在DLL模块，再在模块内搜索，当调用函数较多时，这个方法效率比鬼手师傅的全局搜索效率要高，并且hash冲突的可能性也会比较低。

笔者的目标是先搜寻内存当中的DLL模块的基址，再从基址遍历导出表计算导出函数HASH并对比获取导出函数的内存地址。为了得到Shellcode，需要首先分别计算出DLL模块名称的HASH和导出函数的HASH。

将生成的HASH数据导出到文件中保存。接下来将上线的C代码写好，生成shellcode，分别上线测试。

32位ShellCode上线成功。

64位ShellCode上线成功。

接下来分析CS的ShellCode生成替换过程。首先定位到ShellCode生成过程代码入口(aggressor/dialogs/PayloadGeneratorDialog)。

首先判断格式，每个格式对应不同的语言代码模板。这里直接看原始的payload如何构造。

根据前端用户的选项选择payload架构和监听器，然后将选项传入getListener函数，返回后调用getPayloadStager函数，继续跟进分析。

getListener通过监听器的名字从全局注册的监听器中搜索，并返回监听器对象。跟进ScListener对象的getPayloadStager函数分析。

getPayloadStager直接调用了Stagers.shellcode函数，跟进。

shellcode是个单例方法，最终会调用Stagers的对象方法resolve根据选择的监听器类型生成GenericStager，再调用generate方法生成shellcode。

笔者这里自定义的ShellCode是reverse http，因此会进入GenericHTTPStagerX64和GenericHTTPStagerX86。

最终都会进入GenericHTTPStager的generate方法。

public byte[] generate() {      try {         // 获取stager模板文件         InputStream var1 = CommonUtils.resource(this.getStagerFile());         // 读取模板文件到内存         byte[] var2 = CommonUtils.readAll(var1);         String var3 = CommonUtils.bString(var2);         var1.close();         // 获取监听器的host信息，最后添加一个unicode的0结尾，放到模板代码的最后         var3 = var3 + this.getListener().getStagerHost() + 'u0000';         // 创建一个packer对象         Packer var4 = new Packer();         // 设置为小端字节序         var4.little();         // 添加监听器的端口         var4.addShort(this.getListener().getPort());         AssertUtils.TestPatchS(var2, 4444, this.getPortOffset());         // 替换shelllcode模板中端口偏移处的信息         var3 = CommonUtils.replaceAt(var3, CommonUtils.bString(var4.getBytes()), this.getPortOffset());         var4 = new Packer();         var4.little();         // 设置exit代码         var4.addInt(1453503984);         AssertUtils.TestPatchI(var2, 1453503984, this.getExitOffset());         var3 = CommonUtils.replaceAt(var3, CommonUtils.bString(var4.getBytes()), this.getExitOffset());         var4 = new Packer();         var4.little();         var4.addShort(this.getStagePreamble());         AssertUtils.TestPatchS(var2, 5555, this.getSkipOffset());         var3 = CommonUtils.replaceAt(var3, CommonUtils.bString(var4.getBytes()), this.getSkipOffset());         var4 = new Packer();         var4.little();         // 设置连接选项         var4.addInt(this.getConnectionFlags());         AssertUtils.TestPatchI(var2, this.isSSL() ? -2069876224 : -2074082816, this.getFlagsOffset());         var3 = CommonUtils.replaceAt(var3, CommonUtils.bString(var4.getBytes()), this.getFlagsOffset());         String var5;         // 搜索303个X，搜索到的话，替换成headers信息         if (CommonUtils.isin(CommonUtils.repeat("X", 303), var3)) {            var5 = this.getConfig().pad(this.getHeaders() + 'u0000', 303);            var3 = CommonUtils.replaceAt(var3, var5, var3.indexOf(CommonUtils.repeat("X", 127)));         }
         // 搜索79个Y,然后替换成URI         int var6 = var3.indexOf(CommonUtils.repeat("Y", 79), 0);         var5 = this.getConfig().pad(this.getURI() + 'u0000', 79);         var3 = CommonUtils.replaceAt(var3, var5, var6);         // 最终在尾部添加水印信息后返回         return CommonUtils.toBytes(var3 + this.getConfig().getWatermark());      } catch (IOException var7) {         MudgeSanity.logException("HttpStagerGeneric: " + this.getStagerFile(), var7, false);         return new byte[0];      }   }

这里以32位shellcode为例，通过代码，模板文件为resources/httpstager.bin。在反编译jar包的源码中，找到该文件，用010Editor打开，再打开生成的shellcode文件，对比两者的差别。

第一处区别偏移是0xBF，十进制就是191，这个偏移正是GenericHTTPStagerX86类中定义的端口数据的偏移，teamserver监听端口为8088，16进制正是0x1f98，这里是小端存储，即981F。第三处区别的偏移是0x143，对比文件内容，正是替换Y的地方。前面是占位80字节的URI信息，后面是headers信息。

这里水印信息为499602D2。这些便是根据监听器配置生成的ShellCode数据。

经过上面的处理流程之后，最后通过common/CommonUtils.writeToFile将ShellCode直接写入文件。

写在最后

其实前面这些魔改只是做的表面功夫，真正到实战当中还是会被实力强的杀软秒杀，比如卡巴斯基等。遇到这些对手，需要让beacon和其他后渗透模块高度自定义，这里面涉及到很多方面，静态和行为都需要改造，所以单从魔改CS的客户端、服务端和控制端已经远远不够了，并且灵活度太低，参考快乐鸡哥师傅用C#重写的SharpBeacon（师傅YYDS）。另外，鉴于改造CS的客户端这么麻烦，不如在搞清楚CS的内部原理之后，在外部建设一个Stager生成服务，通过CS的配置动态生成各种语言版本的Stager，这样省去了通过Agent动态替换JAVA指令的麻烦，灵活度大大增加。

参考资料

•https://github.com/Twi1ight/CSAgent•https://github.com/ryanohoro/csbruter•https://mp.weixin.qq.com/s/HibtLfikI_0ezcLVCRxqaA•https://mp.weixin.qq.com/s/0MPM3bysJJYr5jbRnES_Vg•https://github.com/Sentinel-One/CobaltStrikeParser•https://github.com/CCob/BeaconEye•https://mp.weixin.qq.com/s/_gSPWVb1b-xuvhU6ynmw0Q•https://wbglil.gitbook.io/cobalt-strike/cobalt-strike-gong-ji-fang-yu/untitled-1•https://github.com/TonyChen56/ShellCodeFrame•https://gitee.com/stemmm/CobaltstrikeSource

References

[1] CobaltStrike 4.4原版+通用白嫖破解及汉化加载器: https://www.ddosi.org/cobaltstrike-4-4-csagent/
[2] Twi1ight: https://github.com/Twi1ight
[3] CSAgent: https://github.com/Twi1ight/CSAgent
[4] ca3tie1: https://github.com/ca3tie1
[5] CrackSleeve: https://github.com/ca3tie1/CrackSleeve
[6] CobaltStrikeParser: https://github.com/Sentinel-One/CobaltStrikeParser
[7] 快乐鸡哥: https://github.com/mai1zhi2
[8] 鬼手: https://github.com/TonyChen56

知识星球人员介绍

知识星球二维码

文章内用到的代码源码已同步更新在知识星球

原文始发于微信公众号（RedCode Team）：CobaltStrike魔改与增强