记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

CobaltStrike应用攻击手段实例分析

2020-06-02 22:26


上期回顾


伪装和钓鱼是APT攻击常态化的手段,在许多情形下攻击者通过鱼叉式钓鱼邮件完成攻击手段,在这就不得不提及伪装的技法——「钓鱼伪装」,目的就是为了让邮件或页面看上去像正常内容,降低目标的防范意识。


具体详细内容点击查看:

红蓝对抗——「钓鱼伪装」攻击手段实例分析





本期为第四期,猎影实验室将就CobaltStrike在红蓝对抗中的应用展开叙述。






CobaltStrike简介



Cobalt Strike是熟知的渗透测试利器,功能十分强大,可扩展性强,从前期载荷生成、诱饵捆绑、钓鱼攻击到载荷植入目标成功后的持续控制、后渗透阶段都可以很好支持,几乎覆盖攻击链的各个阶段。并且支持多种上线方式,以及多种丰富的配置可以达到非常好的隐蔽效果。CS teamserver团队服务器又可以使众多CS客户端连上它,以进行团队协作。


如此优秀的渗透测试框架自然得到了众多黑客和APT组织的青睐,纷纷应用到真实攻击活动中。


通过安恒Sumap全球网络空间超级雷达对CS指纹进行探测,在不完全统计的情况下就已发现上千台活跃的C2服务器。



其中还包含了些许CS服务器的IPv6资产,分布于中国、美国、俄罗斯、德国、日本、新加坡等地。





CobaltStrike在红蓝对抗中的应用



在捕获的多方红蓝对抗样本中,最终载荷几乎都用到了CobaltStrike。


1. Malleable C2应用


其中Cobalt Strike Malleable C2是不得不提的点,Malleable C2即为“可定制”的C2,可以通过配置文件,来修改CS beacon和C2的流量和行为特征。


通过配置的修改,可以使C2流量混合在目标环境流量中,伪装为正常应用流量,达到欺骗的作用。


如:通过构造配置将流量伪装为Bing流量



经配置后Beacon的会话元数据通过编码放在了bing搜索字段中,并且Host和User-Agent等内容也经过了伪装修改。



在红蓝对抗样本中也碰到了多个样本对Malleable C2的使用,如将Host修改为microsoft相关的常见域名,Referer倒是用了公开参考的配置文件里的一些默认配置,对jquery有一定的偏好。



并且使用了Beacon Stager Payload,在Stager配置项中使用jquery-3.3.2.slim.min.js这类的请求访问,并结合高度伪装的域名,达到高度伪装



样本中也存在Stageless对jquery形式的伪装情形。


2. Beacon的编码处理


在网络中直接请求下载一个未特殊处理的Beacon比较容易被设备察觉,使用的Beacon本身可能存在一些特征可被检测,可以通过一些方法进行对抗。在捕获的样本中就存在Downloader下载经过编码的页面内容,再解密执行。


如捕获到的一类样本会进行多阶段下载,其中会调用一个C# Downloader,访问远程链接下载执行。



远程内容经过编码。



获取字符串内容后通过base64和gzip进行还原,并加载执行。



载荷为CobaltStrike。



3. 暴露的CS服务器


除了通过样本特征流量特征可以辨识出CobaltStrike外,CobaltStrike服务器还有一些指纹特性,如使用默认https证书、特殊字符信息、Teamserver默认端口50050等。


在多个捕获的红蓝对抗样本的回连服务器中就命中了Sumap全球网络空间超级雷达的情报探测结果。



Sumap产出资产情报有效赋能于威胁情报中心平台,使平台更好的服务于红蓝对抗实战。





如何防御



安恒APT预警平台,安恒APT预警平台能够发现已知或未知的威胁,APT预警平台的实时监控能力能够捕获并分析邮件附件投递文档或程序的威胁性,并能够对邮件投递,漏洞利用、安装植入、回连控制等各个阶段做强有力的监测。结合安恒威胁情报系统,可将国内外的威胁数据进行汇总,并分析整个攻击演进和联合预警。


安恒威胁情报中心,拥有专业威胁情报分析团队,分析安全威胁数据、跟踪APT事件,以及多源情报数据的分析,形成了高价值的威胁情况库。分析的情报包括恶意文件、僵尸网络、C2、扫描IP、黑产IP、挖矿等60余类情报数据等。通过提供威胁情报数据与服务,可为用户提升区域安全态势感知、未知威胁检测、威胁溯源分析、主动防御等场景的智能化程度;依托该核心数据能力,提供威胁情报数据,威胁情报检测等专业能力。








团队招聘

招聘二进制安全研究员

职位描述:

1、在日常可疑文件分析的基础,进行数据挖掘,寻找APT攻击事件;

2、分析客户反馈的可疑文件,编写分析报告,提供解决方案等;

3、负责热门安全事件、最新漏洞的分析,编写分析报告或poc代码等

4、研究新的检测方法,维护和完善APT检测等产品策略

5、协助内部威胁分析平台建设等


职位要求:

1、熟悉windows、Linux上调试手段,能够熟练使用常用逆向分析工具(IDA、WinDbg、OD等);

2、熟悉C/C++、汇编语言,至少熟悉一门脚本编程语言,能快速完成POC代码编写;

3、熟悉病毒、木马通信原理和常用技术以及常见加密算法等;

4、熟悉安全漏洞原理,有独立文档漏洞分析能力;

5、至少1年以上逆向分析、安全研究相关工作经验,能力优先不受工作年限限制;

6、具备大数据挖掘能力,对数据极度敏感,能够快速对数据进行关联分析;

7、思路清晰,善于主动思考,有创新、能独立分析和解决问题,具有良好的沟通能力和团队合作精神;

8、有漏洞分析、病毒木马分析、Web攻防、威胁情报挖掘、反APT攻击、机器学习相关、IOT、ICS等工作经验的优先。


联系方式:

xiaoyi.tu@dbappsecurity.com.cn



往期精选


围观

您有一张“2020西湖论剑·网络安全线上峰会”专属船票,快拿走~


热文

如何开展网络安全实战攻防演练?你需要这份应对指南!


热文

关于后疫情时代的医疗卫生网络安全,你想知道的都在这里




知识来源: https://mp.weixin.qq.com/s/9_0pLbmWqUbJ6aGEPjxvYA

阅读:12034 | 评论:0 | 标签:攻击

想收藏或者和大家分享这篇好文章→复制链接地址

“CobaltStrike应用攻击手段实例分析”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

学习黑客技术,传播黑客文化

推广

工具

标签云

本页关键词