免杀对抗-安全工具篇&魔改二开CS&消除流量特征&Profile请求&个性主题&反编译去暗桩
➢ 安全工具-配置修改-CS流量特征
➢ 安全工具-魔改二开-CS个性化打造
➢ 安全工具-魔改二开-CS免杀流量对抗
#安全工具-配置修改-CS流量特征
消除特征点:
默认端口,http请求特征,https证书特征,防溯源等
1、开在公网的teamserver不要使用默认端口
修改teamserver里面的启动端口
2、cobaltstrike.store不要使用默认的文件
查看默认证书文件特征:
keytool -list -v -keystore xxx.store
制作:
这里可以直接使用Java自带的keytool工具进行证书的颁发,命令格式为
keytool -keystore xxx.store --storepass password -keypass password -genkey -keyalg 加密方式 -alias 别名 -dname "证书颁发机构信息"
这里给出我自己的证书颁发的信息
keytool -keystore cobaltStrike.store -storepass xiaodi -keypass xiaodi -genkey -keyalg RSA -alias baidu.com -dname "CN=ZhongGuo, OU=CC, O=CCSEC, L=BeiJing, ST=ChaoYang, C=CN"
3、profile文件要换新的,启动服务端时记得加载,或直接把jar包里面默认配置改了
验证:./c2lint xxx.profile
使用:./teamserver 192.168.139.228 xiaodi jquery-c2.4.5.profile
profile资源:
https://github.com/threatexpress/malleable-c2
https://github.com/zer0yu/Awesome-CobaltStrike?tab=readme-ov-file#0x02-c2-profiles
二开魔改资源:
https://github.com/zer0yu/Awesome-CobaltStrike
4、其他修改
反向代理-符合才上线
SSL隧道-隐匿CS服务器
https://mp.weixin.qq.com/s/t6IrHbRzokx8t01D568Kgw
#安全工具-魔改二开-CS个性化打造
1、反编译源码:
java -cp IDEA_HOME/plugins/java-decompiler/lib/java-decompiler.jar org.jetbrains.java.decompiler.main.decompiler.ConsoleDecompiler -dgs=true <src.jar> <dest dir>
java -cp "D:\IntelliJ IDEA 2023.1\plugins\java-decompiler\lib\java-decompiler.jar" org.jetbrains.java.decompiler.main.decompiler.ConsoleDecompiler -dgs=true cobaltstrike.jar coba
要使用decompiler需要使用JAVA高版本,使用17 引用目录的时后需要使用"" 双引号"D:\IntelliJ IDEA 2023.1\plugins\java-decompiler\lib\java-decompiler.jar"
2、新建java项目,配置lib依赖,配置工件引导等
参考:https://mp.weixin.qq.com/s/mKSWdUO-WKSXIzavebsgrQ
引用JAR包 设置执行入口 开始魔改
3、破解CS暗桩,构建测试
所有源码的修改都要复制源文件到src的对应目录下进行修改
-XX:ParallelGCThreads=4 -XX:+AggressiveHeap -XX:+UseParallelGC
4、开始正式魔改关键代码
标题修改:aggressor/AggressorClient.java
界面修改:aggressor/dialogs/ConnectDialog.java
客户端和图标修改:
-介绍部分位置在resources/about.html。
-许可部分位置在resources/credits.txt。
-图标位置在resources/armitage-icon.gif和resources/armitage-logo.gif,icon是32×32px,logo是256×256px。
主题风格修改:
https://mvnrepository.com/artifact/com.formdev/flatlaf/3.2
FlatLaf(Flat Look and Feel)是一个用于 Java Swing 应用程序的现代化外观(Look and Feel)库,旨在为桌面应用提供扁平化(Flat Design)的 UI 风格。你提供的链接是 FlatLaf 版本 3.2 在 MVNRepository 上的 Maven 依赖信息。
FlatLaf 的主要功能
扁平化设计
提供简洁、现代的界面风格,符合当前 UI 设计趋势(类似 macOS、Windows 11 或 Linux 现代主题)。
主题支持
FlatLightLaf(亮色主题)
FlatDarkLaf(暗色主题)
FlatIntelliJLaf(类似 IntelliJ IDEA 的风格)
FlatDarculaLaf(类似 IntelliJ 的暗色主题)
内置多种主题(亮色、暗色、系统自适应等):
支持自定义主题(通过 .properties 文件调整颜色、字体等)。
高DPI支持
适配 4K/高分辨率屏幕,自动缩放组件。
轻量级
纯 Java 实现,无需原生库,兼容跨平台(Windows/macOS/Linux)。
易集成
只需一行代码即可切换整个应用的 UI 风格:
FlatLightLaf.setup(); // 应用亮色主题// 或FlatDarkLaf.setup(); // 应用暗色主题
典型使用场景
为传统 Java Swing 应用提供现代化界面。
开发工具、IDE 插件(如 IntelliJ 平台插件常用 FlatLaf)。
需要暗色模式支持的桌面应用。
下载jar,lib加入,模块依赖引用,工件加入jar
修改:aggressor/Aggressor.java 加入FlatIntelliJLaf.setup();
Profile替换:
resources/default.profile
#安全工具-魔改二开-CS免杀流量对抗
去除checksum8特征
去除listenerConfig特征
修改配置加解密xorkey
去除beaconeye特征
bypass功能对抗生成
新增防止CS反制功能
新增上线提示等功能
.............
