前言
通常情况下直接执行cmd命令来添加用户或者计划任务都会被杀软拦截,我总结两种方法来绕过杀软的检测,分别是调用Windows Api(编写CS bof)或者执行Powershell脚本(通过模拟powershell环境的程序来执行)
添加用户
拦截情景
在开启360核晶模式的环境下,在UI界面执行添加用户的命令都会被拦截
更别说是在beacon命令行界面执行添加用户命令了,这里我分别尝试使用shell命令和run命令来添加用户,均被核晶拦截了
shell命令:此命令允许你执行Windows命令提示符(cmd.exe)中的任何命令。执行的命令将在命令提示符中运行,并将其输出返回给CobaltStrike。这是一个交互式命令,意味着你可以在输出返回后立即输入下一个命令
run命令:此命令用于在新的进程中运行程序或命令。与shell命令不同,它只是启动新的进程并返回。
绕过方法
1.CS bof
在Windows API中,有一些函数用于处理网络用户和本地组的管理。NetUserAdd() 函数用于在一个服务器上创建一个新用户,而 NetLocalGroupAdd() 函数可以用于在一个本地服务器上创建一个新的用户组
添加计划任务
拦截情景
beacon命令行执行shell命令来添加计划任务,直接被核晶拦截
schtasks /create /tn "My Task" /tr "C:\MyApp.exe" /sc daily /st 10:00
绕过方法
1.CS bof
在Windows api中,你可以使用 Task Scheduler (任务计划程序)API 来创建和管理计划任务。任务计划程序 API 是一组 COM 接口,你可以通过各种编程语言(如 C++,C#,VBScript 等)来使用它
CobaltStrike有个叫Bof的功能,它允许你使用C语言来扩展Beacon的功能,运行时可以直接加载到内存中并执行,因此可以通过编写创建计划任务的bof来绕过一些杀软的检测
运行效果如下图所示:
喜欢的用户可以关注「Hacker之家」公众号,参与白嫖