CobaltStrike 免杀：从便秘到舒畅.md

本文由 简悦 SimpRead 转码， 原文地址 mp.weixin.qq.com

CobaltStrike 免杀：从便秘到舒畅

1

概述

有老哥看了前几天发的便秘帖子后，说鸡哥不讲武德，shellcode 没发出来，卡巴都没有过，帖子就这样结束了。这次一起奉上，CS 通杀所有常见杀软上线运行，相关文件以上传到：

https://github.com/mai1zhi2/CobaltstrikeSource/

2

效果展示

2.1 火绒

执行 shellcode 部分：

执行到反射 dll:

运行上线：

火绒沦为摆设：

2.2 360

执行 shellcode 部分：

执行到反射 dll:

运行上线：

360 沦为摆设：

2.3 腾讯管家

执行 shellcode 部分：

执行到反射 dll:

运行上线：

软件管家沦为摆设：

2.4 卡巴

执行 shellcode 部分：

执行到反射 dll:

运行上线：

卡巴沦为摆设：

2.5 麦咖啡

执行 shellcode 部分：

执行到反射 dll:

运行上线：

麦咖啡沦为摆设：

3

总结

3.1 为什么能免杀

1、Shellcode 的使用设置

从 Shellcode 转 C 代码，再通过 c 还原的 Shellcode，最后所得的 shellcode 没有经过绕过混淆和加密也是一样妥妥的免杀，关于 c 代码到 shellcode 的生成可以参考之前所发 shellcode 框架的文章。

2、Beacon 的免杀改进

目前主要为这两个特征：

Default.profile 的特征：

与导出函数 RefletiveLoader 名字，我在 common/Sclisten.java 的 export() 方法修改了导出函数的名称：

3.2 注意事项

1、请勿使用 stageless 模式，因为该模式的生成规则不相同。

2、请勿执行在该项目 mimikaz、bypassUAC 等敏感行为，因为项目中这些功能还没进行免杀处理的，以防止掉线。因此我们需要对这些功能进行重写并使其免杀。

3、项目只是修改了相应的文件，无留后门等非法行为，老哥们可以放心重打包使用，不放心也可以比对文件，最后，大家护网顺利。

---- 完，谢谢大家观看 ----

4

关注

本公众号 不定期更新 文章和视频 欢迎前来关注