Cobalt-Strike 通过修改配置文件免杀

前言山石情报中心在进行威胁狩猎时，意外发现一批威胁组织样本。有趣的是，这些样本中的CobaltStrike的beacon在内存中含有完整的shellcode上下文，竟然成功绕过了本地杀软的检测。鉴于这一发现，我们的团队决定深入研究CobaltStrike是如何规避相关杀软和EDR检测的，尤其是在beacon未加密的情况下。需要强调的是，我们的目的是分享学习经验，而非鼓励违法活动。绕过内存扫描Cobalt Strike 的最新版本使使用者可以轻松绕过 BeaconEye 和 Hunt-Sleeping-Beacons 等内存扫描仪。打开以下选项：将 sleep_mask 设置为“true”；通过启用此选项，Cobalt Strike 将在休眠之前对其堆和beacon的每个映射部分进行异或，从而在beacon内存中不留下任何不受保护的字符串或数据。因此，上述任何工具都不会进行任何检测。BeaconEye 也无法找到休眠 Beacon 的恶意进程：虽然它绕过了内存扫描 ………………………………