Cobalt Strike配置文件生成工具：安全检测绕过

概述

SourcePoint是一款用Go语言编写的多态C2配置文件生成器，专为Cobalt Strike命令和控制服务器而设计。其目的在于生成独特的C2配置文件，帮助规避安全检测，降低威胁检测率，并使C2活动难以检测。通过实时生成定制化的配置文件，SourcePoint有效地降低了威胁的可检测性，使得对手需要更多的努力才能发现可疑的活动。

设计目标

• 多态性： SourcePoint允许实时生成独特的C2配置文件，通过广泛审查文章和补丁说明，确定关键功能和可修改的功能，从而使得每个生成的配置文件都具有不同的特征。
• 降低威胁检测率： SourcePoint的目标是从恶意IoC（指标）转移到可疑的IoC。通过使生成的IoC本质上不是恶意的，从而使得C2更难以检测，需要更多的研究才能发现可疑的本质。
• 融入环境： SourcePoint允许操作员将C2流量和活动融入环境中，使得活动难以检测。生成的配置文件修改C2的各个方面，使其更适合与目标环境融合。

安装和使用

<code>$ go get gopkg.in/yaml.v2 $ go build SourcePoint.go $ ./SourcePoint -h</code>

功能特点

全局选项：

• Host：设置团队服务器的域名。
• 睡眠：设置信标呼叫回家的时间长度。
• 抖动：调整信标呼叫总部时间的百分比。
• Useragent：设置用于HTTP和HTTPS流量的UserAgent字符串。
• 数据抖动：向所有GET和POST请求添加随机长度的字符串。
• CDN：设置CDN的cookie名称和值。
• 自定义URI：设置自定义HTTP GET/POST配置文件的基URI。
• 等等…

阶段：

• 混淆：混淆反射DLL的导入表。
• RWX：确保shellcode不使用读、写和执行权限。
• Syscall：定义使用系统调用而不是标准Windows API函数的能力。
• PE头：更改反射DLL的特征，使其看起来像内存中的其他内容。
• 等等…

功能菜单：

• 分配器：确定反射加载器如何分配内存。
• 执行：确定如何执行注入的代码。
• 转换：通过删除或添加字符串来转换反射DLL阶段。
• 等等…

执行后：

• 智能注入：使用内嵌函数指针提示引导信标代理。
• AMMI禁用：为powerpick、execute-assembly和psinject禁用AMSI。
• 清除：在加载后导出DLL时清除后导出用户定义的反射DLL内存。
• 等等…

重要提示

• SSL证书： 使用有效的SSL证书对C2的成功至关重要。
• DNS： 目前，DNS定制不直接提供，但可以在每个生成的配置文件中找到有关DNS信标的注释部分。

样本示例

<code>Stage: "False" Host: "acme-email.com" Keystore: "acme-email.com.store" Password: "Password" Metadata: "netbios" Injector: "VirtualAllocEx" Outfile: "acme.profile" PE_Clone: 20 Profile: 4 Allocation: 5312 Jitter: 30 Debug: true Sleep: 35 Uri: 3 Useragent: "Mac" Post-EX Processname: 11 Datajitter: 40 Keylogger: "SetWindowsHookEx" Customuri: CDN: CDN_Value: ProfilePath: Syscall_method: Httplib: ThreadSpoof: true Customuri: CustomuriGET: CustomuriPOST: Forwarder: False TasksMaxSize: TasksProxyMaxSize: TasksDnsProxyMaxSize:</code>

结论

SourcePoint为Cobalt Strike的C2操作提供了一个强大的工具，通过实时生成独特的配置文件，帮助规避安全检测，降低威胁检测率，并使C2活动更难以检测。然而，操作员必须仔细了解每个配置文件中的选项，以确保其与目标环境的融合和成功的C2操作。