taibeihacker
Moderator
安装和设置
系统要求
Cobalt Strike的最低系统要求
2 GHz +以上的cpu2 GB RAM
500MB +可用空間
在Amazon的EC2上,至少使用較高核數的CPU(c1.medium,1.7 GB)實例主機。
支持的操作系统
以下系統支持Cobalt Strike Team Server:Kali Linux 2018.4 - AMD64
Ubuntu Linux 16.04,18.04 - x86_64
Cobalt Strike客戶端在以下系統上運行:
Windows 7及更高版本
MacOS X 10.13及以上版本
Kali Linux 2018.4 - AMD64
Ubuntu Linux 16.04,18.04 - x86_64
更新Cobalt Strike
要充分利用Cobalt Strike的功能,您必須使用許可證密鑰更新許可產品。試用程序中包含執行此操作的更新程序
此程序接受許可證密鑰並為您獲取最新的Cobalt Strike版本。授權的Cobalt Strike軟件包括防病毒的逃避功能,並刪除了試用程序中未授許可申明。
windows
1.進入到到Cobalt Strike文件夾2.雙擊update.bat
Linux
輸入以下內容:cd /path/to/cobaltstrike
./update
MacOS X
1.進入到Cobalt Strike文件夾2.雙擊“Update
Cobalt Strike.command”
確保使用許可證密鑰更新team
server和客戶端軟件。 Cobalt Strike通常根據每個用戶獲得許可。 team server不需要單獨的許可證。
如何重置许可证密钥
Cobalt Strike的更新程序只會詢問您的密鑰一次。之後,它會記住你的鑰匙。如果需要更改密鑰,只需刪除存儲在主目錄中的.cobaltstrike.license文件即可。再次運行更新程序,Cobalt Strike將要求您提供新密鑰。安装Cobalt Strike
Cobalt Strike依賴於Oracle Java 1.8,Oracle Java 11或OpenJDK 11環境。Linux
1.為Linux設置推薦的Java環境2.解壓cobaltstrike-trial.tgz
tar zxvf cobaltstrike-trial.tgz
MacOS X
1.為MacOS X設置推薦的Java環境2.雙擊cobaltstrike-trial.dmg文件以安裝它。
3.將Cobalt Strike文件夾拖到“應用程序”文件夾中。
windows
1.為Windows設置推薦的Java環境2.在下載並安裝Cobalt
Strike之前禁用防病毒軟件。
3.使用您喜歡的zip工具將cobaltstrike-trial.zip解壓到您首選的安裝位置。
启动Cobalt Strike
Team Server
Cobalt Strike分為客戶端和服務器端。該服務器端被稱為團隊服務器,是Beacon有效負載的控制器,同時Cobalt Strike也具有社會工程學功能。團隊服務器還存儲Cobalt Strike收集的數據,並管理日誌記錄。Cobalt Strike團隊服務器必須以root身份運行在所支持的操作系統上。要啟動Cobalt Strike團隊服務器,請使用Cobalt Strike Linux軟件包附帶的teamserver腳本。
./teamserver服務器IP地址密碼
團隊服務器有兩個必要參數和兩個可選參數。第一個是團隊服務器的IP地址。 Cobalt Strike使用此值作為其默認的服務器主機。第二個是您的團隊成員用於將Cobalt
Strike客戶端連接到團隊服務器的密碼。
第三個參數是可選的。此參數指定Malleable C2通信配置文件。
第四個參數也是可選的。此參數指定以YYYY-MM-DD為格式的結束日期。團隊服務器會將此結束日期嵌入其生成的每個Beacon中。 Beacon有效負載將拒絕在此結束日期或之後運行。如果Beacon有效載荷在此結束日期或之後喚醒,它也將被運行退出。
當團隊服務器啟動時,它將發布團隊服務器SSL證書的SHA256哈希值。您應該將此哈希值分發給您的團隊成員。當您的團隊成員連接時,Cobalt
Strike客戶端會在向團隊服務器進行身份驗證之前詢問是否驗證此哈希。這是防止中間人攻擊的重要保護。
Cobalt Strike Client
Cobalt Strike客戶端連接到團隊服務器。要啟動Cobalt Strike客戶端,請使用軟件包中附帶的啟動程序。不帶任何參數。當CobaltStrike客戶端啟動時,您將看到一個連接對話框。
Linux下:
Windows下:
在“host”字段中指定團隊服務器的ip地址。團隊服務器的默認端口是50050.很少有人更改此設置。 “user”字段是團隊服務器上的用戶名稱。將此更改為您的名稱。 “password”字段是團隊服務器的密碼。點擊Connect連接到Cobalt Strike團隊服務器。如果這是您與此團隊服務器的第一次連接,Cobalt Strike將詢問您是否識別此團隊服務器的SSL證書的SHA256哈希值。如果需要,請點擊OK,Cobalt Strike客戶端將連接到服務器。 Cobalt Strike還會記住這個SHA256哈希,以便以後方便連接。
您可以通過Cobalt Strike- Preferences- Fingerprints管理這些哈
希值。
Cobalt Strike會跟踪您連接的團隊服務器並記住您的信息。從連接對話框的左側選擇其中一個團隊服務器配置文件,以使用其信息自動填充連接對話框。您也可以通過Cobalt Strike- Preferences-
Team Servers修改此連接。
功能参考
ApplicationBrowser要查看受控的應用程序,請進入View-Applications。這將打開一個Applications選項卡,其中包含一個列表,顯示System Profiler受控的所有應用程序信息。
Analyst技巧
應用程序瀏覽器有很多信息可用於對目標攻擊的方法。以下是如何充分利用此輸出的方法:內部IP地址字段是從沒有危險的未知簽名Java小程序中收集的。如果此字段顯示為unknown,則表示Java applet可能沒有被運行。如果您在此處看到IP地址,則表示未簽名的Java小程序已被執行。
Internet Explorer將輸出用戶安裝的基本版本信息。隨著Internet Explorer獲取到更新信息後,它的輸出的版本信息不會被更改。 Cobalt Strike使用JScript.dll版本號來判斷Internet Explorer的補丁等級。進入到support.microsoft.com並蒐索JScript.dll的內部版本號(版本字符串中的第三個數字)以將顯示其Internet Explorer更新版本信息。
應用程序旁邊的A* 64表示它是x64位應用程序。
Attacks--web Dive-by--system profiter
Client-side Reconaissance
Artifact
KitCobalt Strike使用Artifact Kit生成其可執行文件和DLL。 Artifact Kit是一款商業框架,用於構建可逃逸某些防病毒產品的可執行文件和DLL的檢查。
Artifact Kit理论
傳統的防病毒產品使用簽名來識別已知的惡意信息。如果我們將已知的惡意shellcode嵌入到可執行文件中,則防病毒產品將識別shellcode並將可執行文件標記為惡意軟件。為了逃避這種檢測,攻擊者以某種方式混淆shellcode並將其嵌套於二進製文件中是很常見的。這種混淆可以逃避那些使用簡單字符串搜索來識別惡意代碼的反病毒產品。
有許多防病毒產品在進行了病毒庫更新後,防病毒產品會模擬虛擬沙箱中可執行文件的來檢查。通過每個模擬的運行步驟,防病毒產品會在模擬的進程空間中檢查已知的錯誤。如果出現已知錯誤,則防病毒產品會將可執行文件或DLL標記為惡意。這種技術使許多編碼器和加載器會被AV檢查到,而這些編碼器和加載器試圖隱藏基於簽名的防病毒產品中的已知錯誤。
Cobalt Strike與此相反,防病毒沙箱有局限性。它不是一個完整的虛擬機。防病毒沙箱無法模擬系統行為。 Artifact Kit是可執行文件和DLL模板的集合,它依賴於反病毒產品不會模擬的某些行為來恢復位於二進製文件內的shellcode。
其中一種技術[參見:Artifact Kit中的src-common/bypass-pipe.c]生成可執行文件和DLL,它們通過命名管道為自己提供shellcode。如果防病毒沙箱不能模擬命名管道,它將找不到已知的惡意shellcode。
Artifact Kit无效的原因
當然,反病毒產品可能會破壞Artifact Ki的特定功能。如果反病毒軟件供應商為您使用的Artifact Kit進行數字簽名檢查,那麼它創建的可執行文件和DLL將被AV檢查到。隨著時間的推移,這種情況開始發生在Cobalt Strike 2.5及以下的版本中。如果您想從Artifact Kit中發揮最大的作用,那麼您將使用其中一種技術作為基礎來構建您自己的Artifact Kit套件。即使這遠遠還夠,因為反病毒廠商首先要確定可執行文件或DLL是否存在已知風險或未知風險或未發現和可執行文件或DLL。其中一些防病毒產品會自動將未知的可執行文件和DLL自動發送給反病毒廠商進行進一步分析並告警用戶。並將未知的可執行文件和DLL視為惡意。這取決於反病毒產品及其設置。
注意:在這種情況下,沒有任何“混淆”可用。你面對的是另一種檢查方式,需要相應地改變。以此和處理應用程序白名單相同的方式來處理這些情況。需要嘗試找到一個已知可用程序(例如,powershell),它將使你的有效負載可有效執行。
如何使用Artifact Kit
從授權的Cobalt Strike進入Help-Arsena來下載Artifact Kit。Strategic Cyber LLC將Artifact Kit分發為.tgz文件。使用tar命令將其解壓縮。 Artifact Kit包含build.sh腳本。在Kali Linux上運行此腳本,使用Minimal GNU for Windows Cross Compiler構建默認的Artifact
Kit技術。
Artifact Kit构建过程
Artifact Kit構建腳本為每個ArtifactKit技術創建一個包含模板的文件夾。要使用Cobalt Strike技術,請轉到Cobalt Strike- Script
Manager,然後從該文件夾中加載artifact.cna腳本。
我們鼓勵您修改Artifact Kit及其代碼,以滿足您的特定需求。雖然熟練的C程序員可以使用Artifact Kit做更多的事情,但非程序員也可以使用Artifact Kit。例如,一個主要的反病毒產品喜歡在每次發佈時都在Cobalt Strike的試用版中為可執行文件寫入數字簽名。直到Cobalt
Strike 2.5後,Cobalt Strike的試用版和許可版在其可執行文件和DLL中使用了命名管道技術。該供應商將為可執行文件使用的命名管道字符串也寫一個數字簽名。逃避它們的數字簽名,可在執行後釋放其本身的字符特徵,就像在管道技術的源代碼中更改管道的名稱一樣簡單。
Artifact Kit使用
Cobalt
Strike許可證授權文件Cobalt Strike的許可版本需要有效的授權文件才能啟動。授權文件是加密的blob,它提供有關Cobalt Strike產品許可的信息。此信息包括:許可證密鑰,許可證到期日期以及與許可證密鑰綁定的ID號。
如何获得授权文件
內置的更新程序在運行(built-in update program)時從Cobalt Strike的更新服務器請求一個授權文件。即使您的CobaltStrike版本是最新的,更新程序也會下載新的授權文件。這允許授權文件與Strategic Cyber LLC的記錄中的許可日期保持同步。
许可证到期后会发生什么
Cobalt Strike將在其授權文件到期時阻止啟動。如果授權文件在Cobalt Strike運行時失效,則不會產生任何影響。許可的Cobalt Strike產品僅在啟動時檢查授權文件。授权文件什么时候到期
當您的Cobalt Strike許可證到期時,您的授權文件將過期。如果續訂Cobalt Strike許可證,請運行更新程序在運行(built-in update program)以使用最新信息刷新授權文件。進入到Help-System Information以查找授權文件何時到期。查找“Other”部分下查找“有效”值。請記住,客戶端信息和Team
Server信息可能具有不同的值(取決於使用的許可證密鑰以及上次刷新授權文件的時間)。
當Cobalt Strike的授權文件在其有效期限的30天內發出警告時,它也會發出警告。
如何将授权文件传输至封闭环境
授權文件是cobaltstrike.auth。更新程序始終將此文件與cobaltstrike.jar放在一起。在封閉環境中使用Cobalt Strike:1.下載https://www.cobaltstrike.com/download上的Cobalt Strike試用包
2.從互聯網連接系統更新Cobalt Strike試用包
3.將更新的cobaltstrike文件夾的內容複製到您的環境中。最重要的文件是cobaltstrike.jar和cobaltstrike.auth。