魔改cobalstrike免杀：三板斧再锤卡巴

mai1zhi2 · 发表于 2021-5-15 09:57

本帖最后由 mai1zhi2 于 2021-5-15 10:04 编辑

一、概述
这次我们一起来探究如何规避卡巴的内存扫描，使得cobalstrike的beacon能够存活，主要原理就是：在beacon 发送完心跳包sleep，对自身的内存属性进行修改去除可执行属性和相关加密，其实现的方式有以下三种：
1、VEH Hook
2、SMC
3、InlineHook
下面会详细讲述各种方法。同时感谢BGWill师傅的文章，让我拓宽了见识。
相关代码已上传到项目中：https://github.com/mai1zhi2/CobaltstrikeSource/

二、前置操作
在项目使用了自定义资源，并把beacon放在项目的资源中，然后通过解析自身的pe结构找到自身的资源，从而进行加载，beacon放在资源可以自己异或加密，放在bmp图片后也是可以的：
图片1.png

三、VEH Hook

VEHHook是基于windows异常的一种Hook，所以这里要介绍下windows异常处理机制。
在windows中，当程序执行过程中发生异常时，系统内核的异常处理过程（nt!KiDispatchException）便开始工作。当在没有内核调试器存在且异常程序没有调试的情况下，windows系统就会把异常处理过程转交给用户层的异常处理过程（ntdll!RtlDispatchException），用户层会查找异常程序中是否安装了VEH、SHE、TopLevelExceptionHandler等异常处理过程，如果已安装则交给其处理。

所以，我们需要先在beacon端安装相应的异常处理过程，然后在发送心跳包时硬编码写下int3断点指令，当程序执行到int3就会触发异常，就会在windows用户态触发相应的处理过程，VEH->SHE->TopLevelExceptionHandler。在这里我们使用int 3+VEH Hook，因为VEH是全局的、基于进程、优先级高。先找到发送心跳包处:
图片3.png

然后在对应pe文件中找到相应的位置，硬编码上int 3即CC：
图片4.png

然后安装VectoredHandler过程，当程序执行到断定时产生异常，该异常会被VectoredHandler所捕获：

VectoredHandler()如下，在函数中我们需要判断发生异常的地址是否与预期一致，里面的context结构体有详细的栈、寄存器信息：
图片6.png

Win10 x64执行效果：
图片8.png

Win7 x86执行效果：
图片10.png

执行任务时内存属性:
图片12.png

内存中的断点位置：

Sleep时的内存属性：
图片13.png

四、SMC
SMC（Self-Modifying Code），即能修改自身代码，对自己的代码进行打内存补丁。在beacon中，我们需要对心跳包的sleep()进行打补丁，将其修改我们自定义的MySleep()。
这里需要注意的操作有，
1）因为CS的beacon是反射注入的，其反射注入的函数会对其进行重定位，所以我们需要对其pe的重定位数据进行修改，否则，在打内存补丁后，又被反射注入函数进行重定位，MySleep的函数地址就会出错。这也是不能使用IineHook Call IAT的原因。

经过pe下数两行半等一系列数手指操作，找到需要修改的重定位数据：
图片14.png

2）自定义的MySleep()函数是stdcall的，不然栈会不平衡：
图片15.png

在Mysleep()中，需要找到反射注入dll所申请的内存区域，所以要从栈上找到返回地址，再去进行相应的判断，应该也能使用egghunter在内存中捞出所在区域。
3）修改资源中心跳包的sleep()函数地址：
图片16.png

Win10 x64执行效果：
图片17.png

Win7 x86执行效果：
图片19.png

Sleep时的内存属性：
图片21.png

五、Inline Hook
Inline Hook是直接修改指令的Hook，使得程序转移了所执行的流程，转移的方式也各异，主要有jmp xxxxxxxx、push xxxxxxxx/retn、mov eax,xxxxxxxx/jmp eax、call HookAddr(输入表地址)、HotPatch Hook。
使用Inline Hook要注意几个问题：
1、是当Hook操作时的线程安全问题，可以先暂停所有线程，再进行Hook操作，最后恢复线程去避免，而IAT Hook相当于原子操作，不存在这问题。因为我们这里是先Hook sleep()，再进行反射注入，所以也不存在这问题。
2、Detour函数重入，造成无限递归
3、Detour函数的线程安全问题，避免使用全局变量，若使用则要上锁。

这里我们稍改了下教主的框架，没有使用微软的InlineHook框架。这里先定义代替Sleep()函数的自定义函数，也即是Detour():
图片22.png

里面的OriginalSleep函数是一条跳转回去执行系统的Sleep()通道,里面需要恢复原来的指令，及绕过自己安装的Hook：
图片23.png

获取到需要Hook函数的地址并记录，通过LoadLibrary()、GetProcAddress()获得系统Sleep()函数的地址，这里有个地方需要注意，或许因为编译版本不同，后面可能是FF25Jmp或E9 call 或者其他，这里debug编译的是FF25 Jmp，我们需要获取到Jmp后面地址所指向的值，该值才是真正系统Sleep()函数位置：
图片24.png