cobalt strick 4.0 系列教程（6）Payload Artifact 和反病毒規避

0x01 哲學

Strategic Cyber 責任有限公司會定期回答有關規避的問題。Cobalt Strike 是否能夠繞過 AV 產品？它能繞過哪些 AV 產品？它多久檢查一次？

Cobalt Strike 默認的 Artifact 可能會被大多數終端安全解決方案攔截。規避不是 Cobalt Strike 默認產品的目的。但是 Cobalt Strike 確實提供了靈活性。

你作為操作員可以改變 Cobalt Strike 在它的工作流中使用的可執行文件、DLL、applet 和腳本模板。你也可以以多種不同的格式導出 Cobalt Strike 的 Beacon payload，這樣可以與用于幫助規避的第三方工具一起工作。

本章將重點介紹 Cobalt Strike 提供靈活性的的功能。

0x02 Artifact 工件集

Cobalt Strike 使用 Artifact 工件集來生成它的可執行文件和 DLL。這個 Artifact 工件集是一個源碼框架、用于建立（build）可以規避一些反病毒產品的可執行文件和 DLL。

Artifact 工件集理論

傳統的反病毒產品使用簽名來識別已知的惡意程序。如果我們把一些被標記的惡意 shellcode 注入一個可執行文件，那么反病毒產品會識別 shellcode 并把此可執行文件標為惡意。

為了打敗這種檢測，攻擊者通常會以某種方式混淆 shellcode 并將其放入二進制文件中。這種混淆過程會打敗使用簡單的字符串搜索來識別惡意代碼的反病毒產品。

很多反病毒產品會進行更嚴苛的檢測。這些反病毒產品模擬一個可執行程序在一個虛擬沙盒中的執行。在執行的每個模擬步驟中，這個反病毒產品會檢測在模擬的進程空間中的已知的惡意部分。如果已知的惡意部分出現，反病毒產品會把這個可執行文件或 DLL 標記為惡意的。這項技術打敗了許多編碼器和程序包，它們試圖去從基于簽名的反 AV 產品中隱藏已知的惡意部分。

Cobalt Strike 對此的應對策略是很簡單的。這個反病毒沙盒有一些限制。這不是完整的虛擬機。有一些反病毒沙盒不會模擬的系統行為。這個 Artifact 工件集是一些可執行文件和 DLL 模板的合，這些可執行文件和 DLL 模板依賴于一些反病毒產品不會模擬來還原二進制中的 shellcode 的行為。

一些技術[請參閱：Artifact 工件集中的 src-common/bypass-pipe.c ]生成可執行文件和 DLL，這些可執行文件和 DLL 通過命名管道為 shellcode 服務，通過命名管道傳輸 shellcode。如果反病毒沙箱不模擬命名管道，就發現不了那些已知的惡意 shellcode。

Artifact 工件集失效的地方

當然，反病毒產品可能擊敗 Artifact 工件集中的特定的實現。如果一個反病毒的供應商為你使用的Artifact 工件集技術編寫了簽名，那么它創建的可執行文件和 DLL 將被捕獲。殺軟的追蹤始于 CobaltStrike 2.5 甚至更低的版本。隨著時間的推移，Cobalt Strike 中默認的繞過技術會逐漸失效。如果你想最大化利用 Artifact 工件集，你可以使用這些 Artifact 工件集中的某項技術作為基礎來構建你自己的Artifact 工件集實現。

但是哪怕是這樣也還遠遠不夠。一些反病毒產品會回連廠商的服務器。這些廠商來決定該可執行文件或DLL 是否是非惡意的或者是之前從未見過的未知可執行文件或 DLL。一些這些產品會自動的把未知的可執行文件或 DLL 發送到廠商用于進一步的研究和提醒用戶。其他的一些產品會把未知的可執行文件或DLL 視為惡意的。這取決于反病毒產品及其設置。

關鍵是，在這種情況下，再怎么樣“混淆”也幫不了你。你要面對的是不同的防御方式，需要針對性的解決方案。你應該像處理應用白名單一樣處理這些情況。嘗試找到一個已知的好的程序（比如powershell），利用它來把你的 payload stager 注入進內存中。

如何使用 Artifact 工件集

通過 Help → Arsenal （武器庫），填入 Cobalt Strike 的注冊碼來下載 Artifact 工件集。你也可以通過這個地址來直接訪問武器庫網頁：https://www.cobaltstrike.com/scripts
在這里插入圖片描述
Strategic Cyber 有限責任公司將 Artifact 工件集以 .tgz 的格式分發。使用 tar 命令對其進行解壓。此 Artifact 工件集包含一個 build.sh 腳本。在 Kali Linux 系統上運行此腳本，無需任何參數，使用最小化 GNU 來為 Windows 交叉編譯器構建默認的 Artifact 工件集。
在這里插入圖片描述
Artifact 工件集構建腳本會為每一項 Artifact 工件集中的技術創建一個包含模板 Artifact 的文件夾。要通過 Cobalt Strike 來使用某項技術，通過 Cobalt Strike → Script Manager （腳本管理器），并從該技術的文件夾加載 artifact.cna 腳本。

建議你定制化修改 Artifact 工件集及其技術，使其滿足你的需求。盡管熟練的 C 程序員可以使用Artifact 工件集做更多事情，那些不是程序員但是樂于探索的人也可以使用 Artifact 工件集。比如，每當新版本發布時，主流的反病毒產品喜歡為 Cobalt Strike 的試用版中的可執行文件編寫簽名。直到Cobalt Strike 2.5版本，Cobalt Strike 的試用版和授權版都在其可執行文件和 DLL 中使用了命名管道技術。反病毒廠商就需要為可執行文件使用的命名管道字符串編寫簽名。擊敗它們的簽名，一次又一次的發布，就像在管道技術的源代碼中更改管道名稱一樣簡單。

0x03 Veil 規避框架

Veil 是一個流行的框架，用于生成可以通過某些防病毒產品的可執行文件。你可以使用 Veil 來為Cobalt Strike 的 payload 生成可執行文件。通過 Attacks → Packages → Payload Generator 。選擇你想要為其生成可執行文件的監聽器。選擇 Veil 作為輸出類型，按 Generate 按鈕來保存輸出文件。

啟動 Veil 規避框架并選擇你想要使用的技術。Veil 最終會詢問關于 shellcode 的生成選項。選擇 Veil的“使用自定義 shellcode”的選項，把 shellcode 粘貼在 Cobalt Strike 的 payload 生成器使用的文件內容中。按 Enter 鍵然后你就會獲得一個新鮮出爐的 Veil 制作的可執行文件。

在這里插入圖片描述

0x04 Java 小程序攻擊

Strategic Cyber 有限責任公司以小程序集的形式為 Cobalt Strike 的小程序攻擊發布源碼。這部分也可以在 Cobalt Strike 的武器庫中。通過 Help → Arsenal （武器庫）并下載小程序集。

使用包含的 build.sh 腳本來在 Kali Linux 上構建小程序集。很多 Cobalt Strike 的客戶使用這種靈活性來使用一個他們購買的代碼簽名的證書為 Cobalt Strike 的 Java 小程序攻擊簽名。我們也強烈推薦這種做法。

要使 Cobalt Strike 使用你的小程序集而不是內置的那個，加載包含在小程序集里面的 applet.cna 腳本。

在 Cobalt Strike 武器庫頁面上你會注意到 Power Applet （Powershell 小程序）。這是 Cobalt Strike的 Java 小程序攻擊使用 PowerShell 的替代實現，用于將 payload 注入內存。Power Applet 展示了你有使用完全不同的方法重建 Cobalt Strike 的標準攻擊并把它門用于 Cobalt Strike 的工作流中的靈活性。

通過加載小程序集中包含的 applet.cna 腳本，可以使 Cobalt Strike 使用你的小程序集而不是內置的那個。