CobaltStrike逆向学习系列(12)：RDI 任务发布流程分析

这是[信安成长计划]的第 12 篇文章

0x00 目录

0x01 任务构建

0x02 结果处理

0x03 功能 DLL 分析

之前的分析都是针对整个 CS 的框架来进行的，但是功能也是整个 C2 中相当重要的部分，接下来几篇文章会对基本的功能类型的流程进行分析

0x01 任务构建

CS 自带的 RDI 类型的功能也有好多，但所有的构建等也都是大同小异了，这里以 HashDump 来进行分析，HashDump 有两种触发方式，一种是在界面上直接点击，一种是通过命令

这两种方式在执行前都会去判断当前用户的权限是否是管理员，如果是才会去执行，而这两种不同的触发方式所使用的检测权限也是在不同位置的

如果是在界面上点击的话，它会在 cna 脚本中直接进行判断

如果通过命令的话，它会在 BeaconConsole 处理的时候直接来判断

而判断方法就是直接判断用户名是否带星号，因为在初始化 BeaconEntry 的时候就已经进行了设置，如果是管理员的话，会直接在名字尾部追加星号

但是无论他们走哪个流程来处理，最终都会通过 TaskBeacon 来进行任务的构建

判断架构也是 BeaconEntry 就已经处理好的

然后先来看一下 HashdumpJob 的内容，可以看到它继承自 Job，而且里面也没有上面所要调用的 spawn，所以这也一定是继承过来的

在 Job 中明显能够看出来有六个函数需要自己来实现

其中最关键的就是 getDLLName、getPipeName、getCallbackType，至于其他设置描述等对于实际的执行也没有那么大的影响

getDLLName 是用来获取所需要调用的 DLL 的，getPipeName 是用来通过制定管道将信息回传给 Beacon 的，这里是特殊字符的占位符，用来后面做 Patch 时候来寻找对应位置的，getCallbackType 是用来决定信息回传到 TeamServer 以后用什么样的格式来回传给 Controller 的

理解了上面的内容以后就可以继续跟入了

首先会通过刚才获取到的名字，将对应的 DLL 读取出来

接着根据架构来 Patch 对应的引导头，并开始构建任务，设置对应的任务号

接着就需要对管道进行处理

它会根据 C2Profile 中设计的命名格式来生成对应的管道名，并在最后将值 Patch 到 DLL 当中

因为 HashDump 功能并不需要进行修复、线程修复、混淆等操作，所以这几步内容都是不需要的

我们也没有设置 SmartInject，这里也忽略掉，然后就构建好了一个任务

当前这个任务的内容就是任务号（4个字节）+ DLLSize（4个字节）+ DLL

紧接着又构建了一个任务，包括了 JobType、CallbackType、WaitTime、PipeName 以及描述等信息，这里的 JobType 之前的任务对应一下，这里很明显就是任务号

最后将两个任务都进行了发送

这里它实际上是调用了两次任务发布，而且这里也很明显能看到之前设置的 Description 是用来在控制台展示的

0x02 结果处理

在结果解密之后，他会先读取 CallbackType

这里也很明显就与之前的设置对应上了

然后会对结果进行处理，对格式进行处理，将凭证添加到 credentials 中，并在最后直接更新上去

这样也就完成了整个流程

0x03 功能 DLL 分析

在 DLL 中可以很容易的看到 Java 在处理时候所设置的这一串值

然后会直接用这片内存的值来连接管道

所以情况也就很明了了，在程序中提前写好固定的值，在 Java 处理的时候，将处理后的值直接替换到这片位置上，用于后续结果通过管道来进行回传