Wie man Beacon Object Files fĂĽr mehrere C2-Frameworks erstellt
Beacon Object Files entwickeln sich zum Standardwerkzeug fĂĽr Red Teams. Wir beschreiben Methoden, sie fĂĽr Command-and-Control-Frameworks kompatibel zu machen.
- Patrick Eisenschmidt
- Moritz Thomas
Mit Beacon Object Files (BOFs) lassen sich Implants von C2-Frameworks (für Command and Control) besonders unauffällig funktional erweitern. Red Teams nutzen aber in der Regel mehrere unterschiedliche Frameworks, je nach individueller Zielumgebung – unglücklicherweise auch solche, die zwar BOFs verwenden, sie aber anders implementieren.
Das häufig genutzte Brute Ratel C4 etwa kann nicht ohne Weiteres populäre BOFs nach dem De-facto-Standard von Cobalt Strike ausführen. Leider überschneiden sich die BOF-APIs beider C2-Frameworks auch nicht stark genug, um sie einfach zu portieren.
- Beacon Object Files (BOFs) können Schadcode dynamisch nachladen und vor EDR-Software verstecken.
- Die BOF-Schnittstellen der verschiedenen C2-Frameworks sind nicht kompatibel. Als Standard gilt das Framework Cobalt Strike (CS).
- Mit dem Open-Source-Werkzeug CS2BR lassen sich viele CS-BOFs auch auf Brute Ratel C4 anpassen.
Hier stellen wir Ansätze vor, die zur vollständigen Kompatibilität zwischen den BOF-APIs von Cobalt Strike und Brute Ratel führen, sodass sich Cobalt-Strike-BOFs unter Brute Ratel C4 ausführen lassen.
Das war die Leseprobe unseres heise-Plus-Artikels "Wie man Beacon Object Files für mehrere C2-Frameworks erstellt". Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.
