CS是我们常用的C2框架。但是其自带的payload已经不能做到免杀。在前期也讲到过免杀方式,但是比较复杂。本文简单说说基于CobaltStrike官方Arsenal Kit免杀套件来替代原生Artifact Kit,从而实现免杀。

下载后,解压文件。得到如下文件结构。

修改配置

在使用之前,我们需要修改arsenal_kit.config文件。里面包含了绕过方式的设定等。默认只编译Artifact,如果要编译其他插件可将其值改为true。

可以编译全部。

如果在编译过程中错误,可以先将其中某一项禁用。

修改绕过

Artifact提供了5种绕过技术和3种内存分配方式,默认用的pipeHeapAlloc大家可以根据实际情况自行修改。

artifactkit_technique="mailslot"
artifactkit_allocator="HeapAlloc"

至此,arsenal_kit.config文件中的修改就到这里。

修改图标

如果想往生成的EXE文件添加版本、图标等信息可以修改src-main目录下的resource.rc文件,将最后一行IDI_ICON1注释去掉,再将icon.ico替换为我们的.ico文件即可。

打包CS插件

现在我们打包插件。在根目录执行命令

./build_arsenal_kit.sh

打包完成后,在dist目录会生成.cna插件文件。

导入插件

现在,我们在cs中导入插件。Script Manger->Load->选择arsenal_kit.cna

创建监听并生成Payload。

正常上线

免杀效果

项目地址

https://lp.lmboke.com/arsenal-kit20240125.tgz

注:项目安全性自测!本平台不承担任何责任!

免责声明

本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本平台和发布者不为此承担任何责任。