什么Cobalt strike?
Cobalt Strike是一款美国Red Team开发的渗透测试神器,主要用于执行有目标的攻击和模拟高级威胁者的后渗透行
动。
Cobalt Strike一款以MSF为基础的GUI框架式渗透工具,集成了端口转发、服务扫描,自动化溢出,多模式端口监听,exe、powershell、hta等木马生成上线
它里面最出名的一个组件叫 Beacon,这是它部署到目标机器上的“载荷/代理”,能让操作者远程下发命令、回连控制、执行横向移动等操作。
但它之所以很出名,也是因为:
- 它功能强
- 行为很像真实攻击者
- 早年泄露版很多
所以现实里很多黑客组织、木马样本、勒索软件前期入侵阶段,都会被发现用了 Cobalt Strike Beacon。这也是为什么做恶意代码分析、流量分析、应急响应时,经常会看到它
Beacon
可以理解为上线的一台主机就是一个Beacon
我们可以在Beacon下做很多事、我们用它执行各种命令
比如常见的shellwhoami
upload 文件上传
download 文件下载
spawn as权限派生
C2-Profiles
知名恶意软件的流量伪造
模拟正常软件的流量请求,逃避防火墙的IPS的流量检测、对杀软的流量检测进行绕过
后期要做到自己编写Profile脚本、更加细节的去实现我们的流量是正常的
团队服务器搭建
JAVA环境符合标准
俩个必须参数
-ip
-password
俩个选填参数
-profile
以YYYY-MM-DD的日期格式指定结束日期
团队服务去会以指定的结束日期,嵌入到它生成的每个Beacon stage中,Beacon payload在此日期后将拒绝运行,即使Beacon payload在此日期后醒来也会自动结束
Cobalt Strike 客户端
常用快捷键:
·-Ctrl+B会把当前停留的标签页移动到CobaltStrike窗口的底部Ctrll+E可以取消此操作
·-Ctrl+D关闭当前正在查看的标签页
·-Ctrl+shift+D会关闭除了当前停留的标签页之外的所有标签页
·-Ctrl+←标签页向左移动
·-Ctrl+→标签页向右移动
·-Ctrl+w在单独的窗口打开当前停驻的标签页
-Ctrl+T快速保存当前停留的标签页的屏幕截图
·-按住shift键并点击x可以关闭所有同名的标签页
-按住Ctrl+shift键并点击x可以在单独的窗口内打开标签页
分布式和团队行动
连接到团队服务器之后:
-使用相同的会话
-分享主机、捕获的数据和下载文件
-通过一个共享的事件日志进行团队交流
Cobalt strike扩展脚本
Aggresor脚本允许您修改和扩展Cobalt Strike客户端。
-上线提醒
-自动化内网渗透的功能实现
No responses yet