CobaltStrike简易免杀后门制作

事先声明：本技术文章仅限用于学习和研究，不得将上述内容用于商业或者非法用途，否则，一切后果请您自负。本博客的技术来源于作者网络上所学。您在技术复现前必须得到攻击目标本人的同意，并且在复现结束后从您的电脑中彻底删除相关内容。如有违法事件发生与作者本人无关。

一.平台搭建

启动CS服务器

命令             ./teamserver 服务器IP(实际要用公网服务器IP) 密码

客户端连接

若连接不成功，需要检测是否开启50050端口。

二.后门病毒的制作

进来之后我们选择Attacks中的BypassAV(我使用的是CS4.0，没有BypassAV，所以我们可以下载bypass.cna之后通过Cobalt Strike->Script Manager来添加这个模块)

然后制作一个后门(注:勾选上x64)

制作完成

但是现在这个后门还是很容易被杀软杀掉的，所以我们要做一些措施

三.免杀操作

步骤一：在Restorator中将其他程序的属性覆盖在该后门病毒中，我这里选的是网易云

做完之后是这样子：

步骤二：使用safengine对该后门进行保护

现在这个BypassAV_se就是可以免杀了

四.测试

我们把它发给另一台主机

另一台电脑开启了电脑管家，接收后没有报毒(我试了360也没问题)

仅开启360扫描后只能发现刚做出的Bypass.exe，步骤一和步骤二做出的都没有被发现

双击上线

五.总结

优点：可以免杀360，火绒剑，腾讯电脑管家等杀软。

缺点：需要被攻击者手动去点，不太好实现。

我们可以通过修改该后门的名字如cloudmusic.exe的方式来让攻击目标点击我们的后门病毒