翻译:Snowming@QAX A-TEAM
校对:L.N.@QAX A-TEAM
Cobalt Strike 是一个为对手模拟和红队行动而设计的平台,主要用于执行有目地的攻击和模拟高级威胁者的后渗透行动。本章中会概述 Cobalt Strike 的功能集和相关的攻击流程。在本手册的剩余部分中会详细的讨论这些功能。
声明:本篇文章由Snowming@ QAX A-TEAM翻译,仅用于技术研究,不恰当使用会造成危害,严禁违法使用 ,否则后果自负。
正文
Cobalt Strike 是一个为对手模拟和红队行动而设计的平台,主要用于执行有目地的攻击和模拟高级威胁者的后渗透行动。本章中会概述 Cobalt Strike 的功能集和相关的攻击流程。在本手册的剩余部分中会详细的讨论这些功能。
译者注:图中的 Intrumentation & Telemetry 大概可以翻译为「终端行为采集 Agent & 云端行为分析引擎」。Instrumentation 指的应该是安装在目标主机上的各类日志收集与监控类工具,Telemetry 指的应该是将这些监控类工具所产出的各位监测日志进行归一化、汇聚到一个统一分析引擎并等待引擎的研判结果这类的过程。
一场深思熟虑的对目标的攻击始于侦查。Cobalt Strike 的 System Profiler 是一个 web 应用,该应用用于客户端的攻击面。从侦查流程中收集的信息会帮助你分析以及做出最好的选择。
武器化是将一个后渗透 payload 与一个文档或在目标上执行此 payload 的漏洞利用相结合。Cobalt Strike 提供将普通的文档转为武器化 Artifacts 的选项。Cobalt Strike 还提供以多种形式导出后渗透 payload、Beacon 的选项,可以结合此工件集以外的 artifacts 使用。
使用 Cobalt Strike 的网络钓鱼工具投递武器化文档到目标网络中的一个或多个人。Cobalt Strike 的网络钓鱼工具将保存的电子邮件重新用于像素级完美的钓鱼。
使用 Cobalt Strike 的 Beacon 来控制你的目标网络。这个后渗透 payload 使用一种异步的「低频次且慢速」的通信模式,高级威胁中的恶意软件常使用这种模式。Beacon 会通过 DNS、HTTP 或 HTTPS 等方式回连(团队服务器)。Beacon 还可以经过常见的代理配置回连至多个主机来避免阻塞。
想要检验目标的攻击溯源分析能力,可以使用 Beacon 的 C2 扩展语言功能。此功能中,通过对 Beacon 重新编程、让流量看上去像一些知名的恶意软件或者融入正常流量。
译者注:所谓的「让流量看上去像一些知名的恶意软件」,如下图中所示的 GitHub 开源 C2 拓展文件项目中的 crimeware 文件夹,就是通过配置 C2 拓展文件、让 Beacon 的流量特征看上去像 Zeus、Asprox 等知名恶意软件。样可以达到掩盖、伪装 Beacon 行动的目的。
Beacon 优越的自动化以及基于命名管道和 TCP sockets 之上的对等通信模式可帮助攻击者进入受害者网络,然后继续进行主机发现和横向移动。Cobalt Strike 被用来抓取信任关系和使用被抓取的证书、密码哈希、访问令牌和 Kerberos 票据等凭据进行横向移动。
使用 Cobalt Strike 的 user-exploitation 工具来展示有实际意义的业务风险。Cobalt Strike 的工作流程使得在受害系统内部署键盘记录器或截屏工具非常简单。使用 Browser Pivoting 去获取到受害目标 Internet Explorer 上记录的网站的访问权限。这个 Cobalt Strike 独有的技术在大多数站点都可以生效,并且可以绕过双因素验证。
Cobalt Strike 的报告功能重建了 Cobalt Strike 客户端的参与度。可以提供给网络管理员一个活动时间表,这样他们可以在他们的监控设备(比如一些流量监测系统)中发现攻击痕迹。可以将 Cobalt Strike 生成的高质量报告作为独立报告提交给客户或将其用作正式文档的附录。
贯穿上面的所有步骤,你需要去了解目标环境、目标防御情况,以及在资源有限的前提下选择最好的方法来达成后渗透目标。这个过程就是规避。提供开箱即用的规避方案不是 Cobalt Strike 的目标。Cobalt Strike 提供的是极大的灵活性,在配置和执行攻击行动的选项等方面都具有很大的灵活性,这使得此软件适用于各种环境和目标。
点击此处“阅读全文”查看完整版手册