当前位置：首页 > news >正文

逆向分析Cobalt Strike安装后门

news 文章来源：https://blog.csdn.net/pandazhengzheng/article/details/136246623 2025/5/5 20:14:28

Cobalt Strike简介

Cobalt Strike是一款基于java的渗透测试神器，也是红队研究人员的主要武器之一，功能非常强大，非常适用于团队作战，Cobalt Strike集成了端口转发、服务扫描，自动化溢出，多模式端口监听，win exe木马生成，win dll木马生成，java木马生成，office宏病毒生成，木马捆绑；钓鱼攻击包括：站点克隆，目标信息获取，java执行，浏览器自动攻击等，至于Cobalt Strike详细怎么玩，我就不介绍了，网上很多教程，功能也很强大，我主要想从逆向的角度去分析一下Cobalt Strike安装后门的技术原理，跟踪一下它是如何与服务器进行连接，并安装Beacon后门模块的。

搭建测试环境

测试环境：

1.服务端 kali 用于Cobalt Strike服务端

2.攻击机 win7 用于Cobalt Strike客户端

3.测试机 win7 测试安装Cobalt Strike的后门程序

工具

Cobalt Strike 4.1中文版

启动Cobalt Strike服务器，如下所示：

启动Cobalt Strike客户端，生成EXE后门，如下所示：

Cobalt Strike监听器的Payload可以自定义设置，我这里以Beacon HTTP为例，如下所示：

生成EXE后门之后在测试机上运行，客户端会提示有主机上线，开启beacon操作接口，如下所示：

后面就可进行各种操作了，这里就不介绍了，教程很多，也有很多不同的玩法，我主要对生成的EXE比较感兴趣，重点研究一下生成的EXE，是怎么运行的。

逆向跟踪分析

1.拼接字符串，如下所示：

2.创建线程，连接管道，如下所示：

3.通过VirtualAlloc分配内存空间，解密shellcode代码，如下所示：

4.解密出来shellcode代码，如下所示：

5.跳转执行解密出来的shellcode代码，如下所示：

6.shellcode代码，加载wininet.dll，如下所示：

7.调用InternetOpenA，InternetConnectA等函数连接服务器，如下所示：

8.调用HttpOpenRequestA，HttpSendRequestA等函数向服务器发送连接请求，如下所示：

9.调用VirtualAlloc分配内存空间，存放返回的数据，如下所示：

10.通过InternetReadFile循环读取服务器返回的数据，如下所示：

11.从服务器上返回的数据，如下所示：

分析返回的数据，为Cobalt Strike反射型注入后门模块beacon.dll，如下所示：

这样beacon的后装模块就安装成功了，就是之前我们在客户端上通过beacon的后门模块进行后面的操作了。

通过动态跟踪分析发现Cobalt Strike的Revere HTTP的ShellCode执行流程，如下所示：

wininet.dll->InternetOpenA->InternetConnectA->HttpOpenRequestA->HttpSendRequestA->VirtualAlloc->InternetReadFile，反射加载执行返回的beacon.dll后门模块。

上面对Cobalt Strike的Bean HTTP Reverse的Payload的实例进行了逆向分析，其他的Payload模块可以使用相同的方法进行跟踪分析，就不做介绍了，可自行进行深入的研究，其实做安全到最后都是相通的，基础安全研究才是安全的核心。

不忘初心

做安全不忘初心，方得始终，只要你做的事是对社会有意义的，能帮助别人就是有价值的事，就一定要坚持做到底，最后都会有回报，前段时间笔者获得了江苏省信息网络安全协会2019年的优秀个人奖，非常感谢协会朋友对笔者的认可，如何做一家伟大的企业，我觉得伟大的企业，一定是对客户，对社会，对国家，或者更大一点说是对全人类有贡献有帮助的企业，当你的客户提起你的企业的时候，会从内心觉得这家企业是做实事的，觉得你的产品和服务，实实在在地帮助他们解决了一些问题，给他们创造了一些价值，这样你就自然而然的会赚到钱，赚钱永远不是伟大企业的目标，只要是做对社会有贡献的事，对别人有帮助的事，让客户信任你的产品，满意你的服务，相信你的专业，就一定能赚到钱，伟大的企业，在别人的眼中，肯定不仅仅只是一家只会赚钱的企业，当你能真正帮助到企业，就一定可以赚到钱，客户也愿意与你合作，也愿意花钱购买你的产品和服务，只这样的企业将来才能越做越大，越做越强，最后成为一家伟大的企业，受到客户的尊敬。

坚持做对社会有贡献的事，坚持做对别人有帮助的事，身为一个安全研究人员，要不忘初心，当国家有需要的时候，有时间和机会一定要为国家网络安全事业尽自己的一点微薄之力，全球网络安全战已经开始，未来需要更多专业的安全研究人员，一起努力，共同进步。

逆向分析Cobalt Strike安装后门

Cobalt Strike简介

搭建测试环境

逆向跟踪分析

不忘初心

相关文章：

逆向分析Cobalt Strike安装后门

【嵌入式学习】QT-Day3-Qt基础

【杭州游戏业：创业热土，政策先行】

Python-pdfplumber读取PDF内容

js设计模式汇总

【Java面试】MongoDB

在苹果电脑MAC上安装Windows10（双系统安装的详细图文步骤教程）

18V/5A桥式驱动芯片-SS6285L兼容替代RZ7889

C++ Primer 笔记（总结，摘要，概括）——第3章字符串、向量和数组

Sora：OpenAI引领AI视频新时代

[FPGA开发工具使用总结]VIVADO在线调试(1)-信号抓取工具的使用

Linux ip route命令

WordPress有没有必要选择付费主题

软考-中级-系统集成2023年综合知识（一）

Flutter NestedScrollView 内嵌视图滚动行为一致

展示用HTML编写的个人简历信息

PostgreSQL 实体化视图的使用

【MySQL】数据库索引详解 | 聚簇索引 | 最左匹配原则 | 索引的优缺点

HarmonyOS 自定义进度条 Stage模型

Flink双流（join）

使用Nginx或者Fiddler快速代理调试

MySQL高级特性篇(3)-全文检索的实现与优化

MySQL加锁策略详解

会声会影2024新功能及剪辑视频步骤教程

Rust Vs Go:从头构建一个web服务

几个常见的C/C++语言冷知识

低代码开发：学校低成本数字化转型的新引擎

【es6】解决箭头函数所有的问题，箭头函数的 this 指针，使用 new 操作符

2-1SDN(软件定义网络）环境测试实验（无默认控制器）-静态流表

飞天使-k8s知识点22-kubernetes实操7-ingress