简单使用工具提取cobalt strike马
作者:互联网
针对hw,很多红队开发人员,都是简单加工了下CS马,套了层外壳,针对于这类样本的分析提取CS,可以使用工具快速分析提取CS的beacon,并不要什么太多操作。
首先拿到样本,先常规提取恶意PE文件。使用pe-sieve工具。
https://github.com/hasherezade/pe-sieve
比如提取后这种未命名的就是马所在。
如果套了几层,可以关键API下断,手动dump出内存,不过国内hw那些样本大部分都是简单构造。
再判断恶意代码是否为CobaltStrike,比如实例这里,IDA看到异或操作。
提取数据
解码
发现是CS配置,再使用CobaltStrikeParser解析出beacon就行了,也可也无脑先使用下,如果报错再换其他思路,不过hw样本用CS马是绝大多数。
工具链接如下:
https://github.com/Sentinel-One/CobaltStrikeParser
标签:提取,样本,hw,cobalt,CS,strike,工具,sieve 来源: https://blog.csdn.net/youyou519/article/details/121013185