- Регистрация
- 31.12.2019
- Сообщения
- 6,472
- Реакции
- 9
Появилось немного свободного времени, решил написать про КС, тем более тема многим не дает покоя =) тут уже выкладывал видео о различиях взломанной и модифицированной мной версии. Все очень просто: разработчики кобальта оставили несколько "сюрпризов" для любителей халявы, а именно (в последней версии в частности) они оставили строку
в нескольких местах. В этой небольшой заметке я постараюсь рассказать и объяснить как же исправить это безобразие =) Итак поехали!
Для начала нам нужен линукс =) Уверен, для винды сущестует огромное количество аналогичных инструментов, но мне о них, к сожалению ничего не известно =) Еще нам нужен bytecode-viewer
для декомпиляции и удобного просмотра кода. После установки, запускаем coproc sudo bytecode-viewer и настраиваем на нужную волну.
Именно этот декомпилер мы и будем использовать, почему, сможете узнать сами, протестировав подобным образом другие) Итак, после настройки приложения, открываем терминал в системе, и распаковываем cobaltstrike.jar (это обычный zip архив) в папку /tmp
Хвосты EICAR'а лично я обнаружил в файлах (это касаемо CS4.3)
Конечно, он есть и в нескольких других местах, но они не имеют никакого значения. BaseArtifactUtils отвечает за генерация исходного кода, т.е. эта строка будет присутствовать во всех Ваших нагрузках, а ListenerConfig соответсвенно за коммуникации между биконом и тимсерверов, т.е. эта строчка в закодированном виде будет присутствовать во всех GET и/или POST запросах (если у вас http(s) бикон) или же в другом трафике между Вами и тестируемой машиной. В первом случае достаточно оставить пробел, либо же написать что-то типа Microsoft Windows Update Standalone Client (ну или же оставить свой номер телефона и домашний адрес, в случае находки потерянного бикона). Во втором ставим перед == знак !
Автор: x4k
Код:
X5O!P%@AP[4\\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*в нескольких местах. В этой небольшой заметке я постараюсь рассказать и объяснить как же исправить это безобразие =) Итак поехали!
Для начала нам нужен линукс =) Уверен, для винды сущестует огромное количество аналогичных инструментов, но мне о них, к сожалению ничего не известно =) Еще нам нужен bytecode-viewer
Код:
wget -O /tmp/bv.deb http://kali.download/kali/pool/main/b/bytecode-viewer/bytecode-viewer_2.9.22%2Brepack-0kali1_all.deb && dpkg --force-all -i /tmp/bv.deb && apt-get -f -y installдля декомпиляции и удобного просмотра кода. После установки, запускаем coproc sudo bytecode-viewer и настраиваем на нужную волну.
Именно этот декомпилер мы и будем использовать, почему, сможете узнать сами, протестировав подобным образом другие) Итак, после настройки приложения, открываем терминал в системе, и распаковываем cobaltstrike.jar (это обычный zip архив) в папку /tmp
Код:
mkdir /tmp/cs ; unzip cobaltstrike.jar -d /tmp/cs/Хвосты EICAR'а лично я обнаружил в файлах (это касаемо CS4.3)
Код:
/tmp/cs/common/BaseArtifactUtils.class и /tmp/cs/common/ListenerConfig.classКонечно, он есть и в нескольких других местах, но они не имеют никакого значения. BaseArtifactUtils отвечает за генерация исходного кода, т.е. эта строка будет присутствовать во всех Ваших нагрузках, а ListenerConfig соответсвенно за коммуникации между биконом и тимсерверов, т.е. эта строчка в закодированном виде будет присутствовать во всех GET и/или POST запросах (если у вас http(s) бикон) или же в другом трафике между Вами и тестируемой машиной. В первом случае достаточно оставить пробел, либо же написать что-то типа Microsoft Windows Update Standalone Client (ну или же оставить свой номер телефона и домашний адрес, в случае находки потерянного бикона). Во втором ставим перед == знак !
Код:
if (this.watermark !== 0) {Автор: x4k