Skip to content

NtDallas/BOF_ExecuteAssembly

BranchesTags

Folders and files

NameName
Last commit message
Last commit date

Latest commit

Β 

History

5 Commits
Img
Img
Β 
Β 
Src
Src
Β 
Β 
BOF_ExecuteAssembly.cna
BOF_ExecuteAssembly.cna
Β 
Β 
Dockerfile
Dockerfile
Β 
Β 
Makefile
Makefile
Β 
Β 
README.md
README.md
Β 
Β 

Repository files navigation

BOF Execute-Assembly

Beacon Object File for Cobalt Strike that executes .NET assemblies in beacon with evasion techniques.

Overview

Core Architecture

β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”
β”‚                         Cobalt Strike Beacon                                 β”‚
β”‚                         (Parent Process)                                     β”‚
β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”¬β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜
                                   β”‚
                                   β”‚ beacon_inline_execute()
                                   β”‚ - Parse packed arguments
                                   β”‚ - Call go()
                                   β–Ό
β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”
β”‚                      BOF Execute-Assembly Entry (go)                         β”‚
β”‚  β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”  β”‚
β”‚  β”‚ Configuration Parsing                                                  β”‚  β”‚
β”‚  β”‚  β€’ ProxyMethod (None/Draugr/Timer/RegWait)                             β”‚  β”‚
β”‚  β”‚  β€’ AmsiEvasion (None/Patch/HWBP)                                       β”‚  β”‚
β”‚  β”‚  β€’ EtwEvasion (None/Patch)                                             β”‚  β”‚
β”‚  β”‚  β€’ PipeName, AppDomainName, Assembly bytes, Arguments                  β”‚  β”‚
β”‚  β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”¬β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜  β”‚
β”‚                                   β”‚                                          β”‚
β”‚  β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β–Όβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”  β”‚
β”‚  β”‚ Framework Initialization                                               β”‚  β”‚
β”‚  β”‚  β€’ InitVxTable() - Resolve syscall numbers                             β”‚  β”‚
β”‚  β”‚    └─> NtProtectVirtualMemory, NtContinue, NtCreateEvent,              β”‚  β”‚
β”‚  β”‚        NtSetEvent, NtWaitForSingleObject, NtClose                      β”‚  β”‚
β”‚  β”‚  β€’ DraugrInit() - Setup synthetic stack frames                         β”‚  β”‚
β”‚  β”‚    └─> Locate RtlUserThreadStart, BaseThreadInitThunk                  β”‚  β”‚
β”‚  β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”¬β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜  β”‚
β”‚                                   β”‚                                          β”‚
β”‚  β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β–Όβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”  β”‚
β”‚  β”‚ DLL Loading (ProxyLoadLibraryA)                                        β”‚  β”‚
β”‚  β”‚  β€’ amsi.dll, OleAut32.dll, mscoree.dll, User32.dll                     β”‚  β”‚
β”‚  β”‚                                                                        β”‚  β”‚
β”‚  β”‚  PROXY_NONE:     LoadLibraryA() directly                               β”‚  β”‚
β”‚  β”‚  PROXY_DRAUGR:   DRAUGR_API(LoadLibraryA) - spoofed stack              β”‚  β”‚
β”‚  β”‚  PROXY_TIMER:    CreateTimerQueue β†’ Timer callback                     β”‚  β”‚
β”‚  β”‚  PROXY_REGWAIT:  RegisterWaitForSingleObject β†’ Event callback          β”‚  β”‚
β”‚  β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”¬β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜  β”‚
β”‚                                   β”‚                                          β”‚
β”‚  β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β–Όβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”  β”‚
β”‚  β”‚ AMSI Evasion Setup                                                     β”‚  β”‚
β”‚  β”‚                                                                        β”‚  β”‚
β”‚  β”‚  AMSI_PATCH:                         AMSI_HWBP:                        β”‚  β”‚
β”‚  β”‚  β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”         β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”  β”‚  β”‚
β”‚  β”‚  β”‚ 1. Backup 4 bytes       β”‚         β”‚ 1. Add VEH Handler           β”‚  β”‚  β”‚
β”‚  β”‚  β”‚ 2. NtProtectVirtualMem  β”‚         β”‚ 2. RtlCaptureContext         β”‚  β”‚  β”‚
β”‚  β”‚  β”‚    (RW)                 β”‚         β”‚ 3. Set DR0 = AmsiScanBuffer  β”‚  β”‚  β”‚
β”‚  β”‚  β”‚ 3. Write:               β”‚         β”‚ 4. Enable DR7 breakpoint     β”‚  β”‚  β”‚
β”‚  β”‚  β”‚    48 31 C0  xor rax,raxβ”‚         β”‚ 5. NtContinue (apply ctx)    β”‚  β”‚  β”‚
β”‚  β”‚  β”‚    C3        ret        β”‚         β”‚                              β”‚  β”‚  β”‚
β”‚  β”‚  β”‚ 4. NtProtectVirtualMem  β”‚         β”‚ On AmsiScanBuffer call:      β”‚  β”‚  β”‚
β”‚  β”‚  β”‚    (restore)            β”‚         β”‚   β†’ #BP Exception            β”‚  β”‚  β”‚
β”‚  β”‚  β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜         β”‚   β†’ VEH redirects to RET     β”‚  β”‚  β”‚
β”‚  β”‚                                      β”‚   β†’ RAX = 0                  β”‚  β”‚  β”‚
β”‚  β”‚                                      β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜  β”‚  β”‚
β”‚  β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”¬β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜  β”‚
β”‚                                   β”‚                                          β”‚
β”‚  β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β–Όβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”  β”‚
β”‚  β”‚ ETW Evasion (if enabled)                                               β”‚  β”‚
β”‚  β”‚  β€’ NtProtectVirtualMemory(NtTraceEvent, RW)                            β”‚  β”‚
β”‚  β”‚  β€’ Backup 4 bytes                                                      β”‚  β”‚
β”‚  β”‚  β€’ Write: 48 31 C0 C3 (xor rax,rax; ret)                               β”‚  β”‚
β”‚  β”‚  β€’ NtProtectVirtualMemory(restore protection)                          β”‚  β”‚
β”‚  β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”¬β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜  β”‚
β”‚                                   β”‚                                          β”‚
β”‚  β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β–Όβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”  β”‚
β”‚  β”‚ Output Redirection Setup                                               β”‚  β”‚
β”‚  β”‚  β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”  β”‚  β”‚
β”‚  β”‚  β”‚ 1. CreateNamedPipeW(\\.\pipe\{CustomName})  β†’ hPipe              β”‚  β”‚  β”‚
β”‚  β”‚  β”‚ 2. CreateFileW(pipe path)                   β†’ hFile              β”‚  β”‚  β”‚
β”‚  β”‚  β”‚ 3. AllocConsole() + ShowWindow(SW_HIDE)     β†’ Hidden console     β”‚  β”‚  β”‚
β”‚  β”‚  β”‚                                                                  β”‚  β”‚  β”‚
β”‚  β”‚  β”‚ 4. PEB Manipulation:                                             β”‚  β”‚  β”‚
β”‚  β”‚  β”‚    β€’ Backup: hCurrentStdOut = PEB->ProcessParameters->StdOut     β”‚  β”‚  β”‚
β”‚  β”‚  β”‚    β€’ Backup: hCurrentStdErr = PEB->ProcessParameters->StdErr     β”‚  β”‚  β”‚
β”‚  β”‚  β”‚    β€’ Redirect: PEB->StdOut = hFile                               β”‚  β”‚  β”‚
β”‚  β”‚  β”‚    β€’ Redirect: PEB->StdErr = hFile                               β”‚  β”‚  β”‚
β”‚  β”‚  β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜  β”‚  β”‚
β”‚  β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”¬β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜  β”‚
β”‚                                   β”‚                                          β”‚
β”‚  β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β–Όβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”  β”‚
β”‚  β”‚ CLR Hosting & Assembly Execution (ExecuteAssembly)                     β”‚  β”‚
β”‚  β”‚  β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”  β”‚  β”‚
β”‚  β”‚  β”‚ 1. CLR Version Detection                                         β”‚  β”‚  β”‚
β”‚  β”‚  β”‚    β€’ Scan assembly bytes for "v2.0.50727" or "v4.0.30319"        β”‚  β”‚  β”‚
β”‚  β”‚  β”‚                                                                  β”‚  β”‚  β”‚
β”‚  β”‚  β”‚ 2. CLR Initialization                                            β”‚  β”‚  β”‚
β”‚  β”‚  β”‚    β€’ CLRCreateInstance β†’ ICLRMetaHost                            β”‚  β”‚  β”‚
β”‚  β”‚  β”‚    β€’ GetRuntime(v2/v4) β†’ ICLRRuntimeInfo                         β”‚  β”‚  β”‚
β”‚  β”‚  β”‚    β€’ GetInterface β†’ ICorRuntimeHost                              β”‚  β”‚  β”‚
β”‚  β”‚  β”‚    β€’ Start()                                                     β”‚  β”‚  β”‚
β”‚  β”‚  β”‚                                                                  β”‚  β”‚  β”‚
β”‚  β”‚  β”‚ 3. AppDomain Management                                          β”‚  β”‚  β”‚
β”‚  β”‚  β”‚    β€’ GetDefaultDomain() β†’ Default AppDomain                      β”‚  β”‚  β”‚
β”‚  β”‚  β”‚    β€’ CreateDomain(CustomName) β†’ Isolated AppDomain               β”‚  β”‚  β”‚
β”‚  β”‚  β”‚                                                                  β”‚  β”‚  β”‚
β”‚  β”‚  β”‚ 4. Assembly Loading                                              β”‚  β”‚  β”‚
β”‚  β”‚  β”‚    β€’ Create SAFEARRAY (VT_UI1) with assembly bytes               β”‚  β”‚  β”‚
β”‚  β”‚  β”‚    β€’ SafeArrayAccessData β†’ Copy assembly to safe array           β”‚  β”‚  β”‚
β”‚  β”‚  β”‚    β€’ CustomAppDomain->Load_3(safearray) β†’ Load in memory         β”‚  β”‚  β”‚
β”‚  β”‚  β”‚                                                                  β”‚  β”‚  β”‚
β”‚  β”‚  β”‚ 5. Argument Preparation                                          β”‚  β”‚  β”‚
β”‚  β”‚  β”‚    β€’ Parse space-delimited arguments                             β”‚  β”‚  β”‚
β”‚  β”‚  β”‚    β€’ Create SAFEARRAY(VT_BSTR) for each argument                 β”‚  β”‚  β”‚
β”‚  β”‚  β”‚    β€’ Wrap in VARIANT structure                                   β”‚  β”‚  β”‚
β”‚  β”‚  β”‚                                                                  β”‚  β”‚  β”‚
β”‚  β”‚  β”‚ 6. Execution                                                     β”‚  β”‚  β”‚
β”‚  β”‚  β”‚    β€’ Assembly->EntryPoint() β†’ Get Main() MethodInfo              β”‚  β”‚  β”‚
β”‚  β”‚  β”‚    β€’ MethodInfo->Invoke_3(arguments) β†’ Execute                   β”‚  β”‚  β”‚
β”‚  β”‚  β”‚       └─> Assembly writes to Console                             β”‚  β”‚  β”‚
β”‚  β”‚  β”‚           └─> Redirected to hFile β†’ Named Pipe                   β”‚  β”‚  β”‚
β”‚  β”‚  β”‚                                                                  β”‚  β”‚  β”‚
β”‚  β”‚  β”‚ 7. Cleanup                                                       β”‚  β”‚  β”‚
β”‚  β”‚  β”‚    β€’ Release COM interfaces (MethodInfo, Assembly, etc.)         β”‚  β”‚  β”‚
β”‚  β”‚  β”‚    β€’ UnloadDomain(CustomAppDomain) β†’ Full unload                 β”‚  β”‚  β”‚
β”‚  β”‚  β”‚    β€’ FreeLibrary(mscoree.dll)                                    β”‚  β”‚  β”‚
β”‚  β”‚  β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜  β”‚  β”‚
β”‚  β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”¬β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜  β”‚
β”‚                                   β”‚                                          β”‚
β”‚  β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β–Όβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”  β”‚
β”‚  β”‚ Output Capture & Display                                               β”‚  β”‚
β”‚  β”‚  β€’ Restore PEB: StdOut/StdErr = original handles                       β”‚  β”‚
β”‚  β”‚  β€’ Allocate buffer (0x10000 bytes)                                     β”‚  β”‚
β”‚  β”‚  β€’ ReadFile(hPipe) β†’ Capture assembly output                           β”‚  β”‚
β”‚  β”‚  β€’ BeaconPrintf(CALLBACK_OUTPUT, output) β†’ Display to operator         β”‚  β”‚
β”‚  β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”¬β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜  β”‚
β”‚                                   β”‚                                          β”‚
β”‚  β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β–Όβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”  β”‚
β”‚  β”‚ Cleanup & Restoration                                                  β”‚  β”‚
β”‚  β”‚  β€’ free(pAssemblyStdOut)                                               β”‚  β”‚
β”‚  β”‚  β€’ NtClose(hFile, hPipe)                                               β”‚  β”‚
β”‚  β”‚  β€’ FreeConsole()                                                       β”‚  β”‚
β”‚  β”‚                                                                        β”‚  β”‚
β”‚  β”‚  if (AMSI_PATCH):                                                      β”‚  β”‚
β”‚  β”‚    β€’ RestoreAmsi() - Write original 4 bytes back                       β”‚  β”‚
β”‚  β”‚                                                                        β”‚  β”‚
β”‚  β”‚  if (AMSI_HWBP):                                                       β”‚  β”‚
β”‚  β”‚    β€’ RemoveHwbp() - Clear debug registers                              β”‚  β”‚
β”‚  β”‚    β€’ RemoveVectoredExceptionHandler(VehHandler)                        β”‚  β”‚
β”‚  β”‚                                                                        β”‚  β”‚
β”‚  β”‚  if (ETW_PATCH):                                                       β”‚  β”‚
β”‚  β”‚    β€’ RestoreEtw() - Write original 4 bytes back                        β”‚  β”‚
β”‚  β”‚                                                                        β”‚  β”‚
β”‚  β”‚  β€’ Restore PEB: StdOut/StdErr = original                               β”‚  β”‚
β”‚  β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜  β”‚
β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜
                                   β”‚
                                   β”‚ Return to Beacon
                                   β–Ό
β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”
β”‚                     Beacon continues execution                               β”‚
β”‚                     (BOF memory cleaned up)                                  β”‚
β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜

Proxy Methods

Method Description
None Direct API calls
Draugr Stack spoofed API calls via Draugr
Regwait RegisterWaitForSingleObject callback execution
Timer Timer Queue callback execution

AMSI Evasion Methods

Method Description
None No AMSI bypass
Patch Memory patch of AMSI!AmsiScanBuffer (xor rax,rax; ret)
HWBP Hardware breakpoint hook on AMSI!AmsiScanBuffer via VEH

ETW Evasion Methods

Method Description
None No ETW bypass
Patch Memory patch of NTDLL!NtTraceEvent (xor rax,rax; ret)

Additional Configuration

Parameter Description Example
PipeName Named pipe name for capturing assembly output P1p3N4m3
AppDomain Custom .NET AppDomain name for assembly isolation Tot4lL3g1t

Proxy Loading Methods Details

1. Direct (PROXY_NONE)

LoadLibraryA("amsi.dll") β†’ Direct call

2. Draugr (PROXY_DRAUGR)

DRAUGR_API(LoadLibraryA, "amsi.dll")
    β”‚
    β”œβ”€ Synthetic Stack Construction
    β”œβ”€ Return Address Spoofing
    └─ Indirect Execution

3. Timer Queue (PROXY_TIMER)

CreateTimerQueue() β†’ CreateTimerQueueTimer(
    callback = LoadLibraryA,
    parameter = "amsi.dll",
    dueTime = 100ms
) β†’ Wait β†’ DeleteTimerQueueEx()

4. RegisterWait (PROXY_REGWAIT)

CreateEvent() β†’ RegisterWaitForSingleObject(
    event,
    callback = LoadLibraryA,
    context = "amsi.dll"
) β†’ SetEvent() β†’ UnregisterWait()

AMSI Evasion Details

Memory Patching (AMSI_PATCH)

Before Patch:                    After Patch:
AmsiScanBuffer:                  AmsiScanBuffer:
  4C 8B DC     mov r11, rsp        48 31 C0     xor rax, rax
  49 89 5B 08  mov [r11+8], rbx    C3           ret
  ...                              ...

Result: All scans return S_OK (clean)

Method:

  1. Save original 4 bytes
  2. Change memory protection to RW
  3. Write xor rax, rax; ret
  4. Restore memory protection
  5. Restore original bytes on cleanup

Hardware Breakpoint (AMSI_HWBP)

Setup:
    1. AddVectoredExceptionHandler
    2. RtlCaptureContext
    3. Set DR0 = AmsiScanBuffer address
    4. Enable DR7 breakpoint flag
    5. NtContinue (apply context)

Execution Flow:
    AmsiScanBuffer called
        β”‚
        β–Ό
    #BP Exception (EXCEPTION_SINGLE_STEP)
        β”‚
        β–Ό
    VEH Handler intercepts
        β”‚
        β”œβ”€ Verify RIP == AmsiScanBuffer
        β”œβ”€ Set RIP = FindRetInstruction(AmsiScanBuffer)
        β”œβ”€ Set RAX = 0 (S_OK)
        └─ Set TF (Trap Flag)
        β”‚
        β–Ό
    Return with RAX=0

ETW Evasion Details

Patch NtTraceEvent (ETW_PATCH_NTDLL)

Before:                          After:
NtTraceEvent:                    NtTraceEvent:
  4C 8B D1     mov r10, rcx        48 31 C0     xor rax, rax
  B8 XX XX     mov eax, syscall    C3           ret

Output Capture Mechanism

Standard Assembly (No BOF):         BOF Execute-Assembly:
    Assembly β†’ Console.WriteLine        1. Create \\.\pipe\{name}
        β”‚                                   β”‚
        β–Ό                                   β–Ό
    Output lost                         2. Open pipe as file handle
                                           β”‚
                                           β–Ό
                                        3. Redirect PEB handles:
                                           β€’ StdOut β†’ pipe
                                           β€’ StdErr β†’ pipe
                                           β”‚
                                           β–Ό
                                        4. Execute assembly
                                           β”‚
                                           β–Ό
                                        5. ReadFile(pipe)
                                           β”‚
                                           β–Ό
                                        6. BeaconPrintf β†’ Operator

Evasion Techniques

Technique Bypasses
Indirect Syscalls Userland API hooks (EDR/AV)
Draugr Stack Spoofing Call stack inspection tools
AMSI Patch/HWBP .NET assembly scanning
ETW Patching Event-based monitoring
Proxy DLL Loading LoadLibrary stackframe monitoring
Named Pipe Malleable Pipe monitoring
Custom AppDomain Default AppDomain monitoring

Detection Vectors

ETW-TI (Threat Intelligence) Callbacks

Memory Protection Changes:

  • NtProtectVirtualMemory calls logged via EtwTiLogReadWriteVm
  • AMSI patching creates RWβ†’RX transition on amsi.dll .text section
  • ETW patching creates RWβ†’RX transition on ntdll.dll .text section

Detection: Memory protection changes on loaded modules are strong indicators.

Kernel Callbacks

Named Pipe Creation:

  • NtCreateFile with \\.\pipe\* path visible to minifilter drivers
  • Pipe-based output redirection creates detectable artifacts

Module Loading:

  • LdrLoadDll events logged by EDR kernel drivers
  • Timer Queue / RegisterWait abuse may trigger behavioral detection

Thread Context Manipulation (HWBP method):

  • Hardware breakpoint usage without debugger presence is suspicious

Behavioral Indicators

  • Hidden console creation (AllocConsole + ShowWindow(SW_HIDE))
  • PEB modification (StandardOutput/StandardError handles changed)
  • CLR loaded in beacon process (unusual for native executables)
  • Custom AppDomain creation (non-default domains suspicious)
  • VEH handler registration without debugger (HWBP method)

Usage

Load Script

Cobalt Strike β†’ Script Manager β†’ Load β†’ BOF_ExecuteAssembly.cna

Configure

Menu: Additionals postex β†’ Execute-Assembly Config

BOF Custom

Exemple

BOF_ExecuteAssembly --assembly /tmp/Ghostpack-CompiledBinaries/Rubeus.exe --args help

Mimikatz

beacon> help BOF_ExecuteAssembl

Help

Compilation

With Dockerfile:

sudo docker build -t ubuntu-gcc-13 .
sudo docker run --rm -it -v "$PWD":/work -w /work ubuntu-gcc-13:latest make

Or, if you have nasm, make, and mingw-w64 (compatible with gcc-13) on your system:

make

Output: Bin/BOF_ExecuteAssembly.o

Detection Vectors

Credits

About

Beacon Object File for Cobalt Strike that executes .NET assemblies in beacon with evasion techniques.

Resources

Readme
Activity

Stars

194 stars

Watchers

3 watching

Forks

26 forks
Report repository

Releases

No releases published

Packages

 
 
 

Contributors

Languages