內網安全學習從入門到入獄-工具-Cobalt Strike(CS)基礎.md
前言
-
本文主要是看了 Cobalt Strike 各種資料後記的筆記。
-
參考過於雜亂,如有問題請聯繫我
-
手上雖然沒有4.0 ,但是也要提前學習了
Cobalt Strike簡介
官網收費軟件 https://www.cobaltstrike.com/,Cobalt Strike許可費用爲每位用戶3500美元,其他的不說了
-
Cobalt Strike是用於“對手模擬”和“紅隊行動”的軟件
-
C/S架構的商業滲透軟件,適合多人進行團隊協作,可模擬APT做模擬對抗,進行內網滲透
-
個人感覺是內網利器,所以放到內網裏面了
-
Cobalt Strike 主要用於團隊作戰,可謂是團隊滲透神器,能讓多個攻擊者同時連接到團體服務器上,共享攻擊資源與目標信息和sessions。
-
Cobalt Strike 作爲一款協同APT工具,針對內網的滲透測試和作爲apt的控制終端功能,使其變成衆多APT組織的首選。
基本名詞解釋
C2
C2 就是 Command & Control Server 的簡稱,也就是命令與控制服務器。
Listener
攻擊者在C2上運行的服務,可以監聽Beacon的請求(check in)。
Beacon
Beacon 是 Cobalt Strike 的 Payload
植入到受感染系統中的惡意程序,可以請求C2服務器並在受感染系統中執行命令
-
有兩種通信策略(與團隊服務器,CS 中以團隊服務器作爲 C2)
-
- 異步式通信 = 頻率低、速度慢
- 交互式通信 = C2 對 Beacon 實時控制
-
使用 HTTP/S 或 DNS 來出口網絡數據
agent
agent的本意爲代理。當攻擊者通過代碼執行,有一個
agent運行在目標網絡中,就可以對目標網絡進行命令與控制。所以
agent` 實際上相當於 Beacon payload。
服務器(Team Server)
Cobalt Strike的服務器組件。Team Server(TS)是配置和啓動Listener的地方
- 控制 - Team Server是Cobalt Strike中所有payload的主控制器,與受害者的所有連接
bind/reverse
都由Team Server管理。
客戶端(Client GUI)
團隊成員使用的圖形化界面
搭建基本的流程
- (可選步驟)選取C2域名
- (可選步驟)擴展Team Server - 選取或自定義一個C2通信配置文件Malleable C2 profile 可設置有效的SSL證書等
- (可選步驟)擴展Client功能 - 使用AggressorScripts修改或擴展Cobalt Strike 3.* 的客戶端功能
- 啓動團隊服務器Team Server
- Client 登錄Team Server
- 啓動監聽器Listener
- 生成payload
- (可選步驟)對payload進行免殺 儘量避免殺毒軟件報毒
- 使用任意途徑以實現受害者主機執行payload
- 對victim主機所在網絡進行後滲透操作
注:2這個後續可能另外寫
C2通信配置文件 - Malleable C2 profile
- 定義C2的通信格式,修改CS默認的流量特徵,以對抗流量分析
- 使用前強烈推薦使用團隊服務器上的腳本對配置文件進行本地的單元測試以檢查語法
./c2lint my.profile
- 每個Cobalt Strike團隊服務器只能加載一個配置文件,如果需要多個配置文件,可以啓動多個團隊服務器,每個都有自己的配置文件,可從同一個Cobalt Strike客戶端連接到這些服務器
簡單的使用
先啓動team sever
啓動Team Server
# team server 必須以 root 權限運行 以便於監聽端口號爲0–1023的listener
# 默認使用50050端口 監聽來自團隊成員CS Client的連接請求
例如 sudo ./teamserver 192.168.0.100 123456
## 注意要給可以執行權限
## chmod 777 teamserver
啓動參數
./teamserver <host> <password> [/path/to/c2.profile] [YYYY-MM-DD]
- 1 - 必填參數`host` 本服務器外網IP/域名
- 2 - 必填參數`password` Client GUI連接時需要輸入的密碼
- 3 - 可選參數`Malleable C2 communication profile` 指定C2通信配置文件 該功能體現了CS的強大擴展性
- 4 - 可選參數`kill date` 指定所有payload的終止日期
啓動Client客戶端
./Cobalt Strike
## 注意要給可以執行權限
## chmod 777 teamserver
Client GUI 圖形界面
登陸成功