作者: Snowming Cobalt Strike 是一个为对手模拟和红队行动而设计的平台,主要用于执行有目地的攻击和模拟高级威胁者的后渗透行动。本章中会概述 Cobalt Strike 的功能集和相关的攻击流程。在本手册的剩余部分中会详细的讨论这些功能。 图1. 攻击问题集
一场深思熟虑的对目标的攻击始于侦查。Cobalt Strike 的 武器化是将一个后渗透 payload 与一个文档或在目标上执行此 payload 的漏洞利用相结合。Cobalt Strike 提供将普通的文档转为武器化 Artifacts 的选项。Cobalt Strike 还提供以多种形式导出后渗透 payload、Beacon 的选项,可以结合此工件集以外的 artifacts 使用。 使用 Cobalt Strike 的网络钓鱼工具投递武器化文档到目标网络中的一个或多个人。Cobalt Strike 的网络钓鱼工具将保存的电子邮件重新用于像素级完美的钓鱼。 使用 Cobalt Strike 的 Beacon 来控制你的目标网络。这个后渗透 payload 使用一种异步的「低频次且慢速」的通信模式,高级威胁中的恶意软件常使用这种模式。 Beacon 会通过 DNS、HTTP 或 HTTPS 等方式回连(团队服务器)。Beacon 还可以经过常见的代理配置回连至多个主机来避免阻塞。 想要检验目标的攻击溯源分析能力,可以使用 Beacon 的 C2 扩展语言功能。此功能中,通过对 Beacon 重新编程、让流量看上去像一些知名的恶意软件或者融入正常流量。
Beacon 优越的自动化以及基于命名管道和 TCP sockets 之上的对等通信模式可帮助攻击者进入受害者网络,然后继续进行主机发现和横向移动。Cobalt Strike 被用来抓取信任关系和使用被抓取的证书、密码哈希、访问令牌和 Kerberos 票据等凭据进行横向移动。 使用 Cobalt Strike 的 user-exploitation 工具来展示有实际意义的业务风险。Cobalt Strike 的工作流程使得在受害系统内部署键盘记录器或截屏工具非常简单。使用 Browser Pivoting 去获取到受害目标 Internet Explorer 上记录的网站的访问权限。这个 Cobalt Strike 独有的技术在大多数站点都可以生效,并且可以绕过双因素验证。 Cobalt Strike 的报告功能重建了 Cobalt Strike 客户端的参与度。可以提供给网络管理员一个活动时间表,这样他们可以在他们的监控设备(比如一些流量监测系统)中发现攻击痕迹。可以将 Cobalt Strike 生成的高质量报告作为独立报告提交给客户或将其用作正式文档的附录。 贯穿上面的所有步骤,你需要去了解目标环境、目标防御情况,以及在资源有限的前提下选择最好的方法来达成后渗透目标。这个过程就是规避。提供开箱即用的规避方案不是 Cobalt Strike 的目标。Cobalt Strike 提供的是极大的灵活性,在配置和执行攻击行动的选项等方面都具有很大的灵活性,这使得此软件适用于各种环境和目标。 本文由 Seebug Paper 发布,如需转载请注明来源。本文地址:https://paper./1143/ |
|