Cobalt Strike 一款以Metasploit为基础的GUI框架式渗透测试工具,集成了端口转发、服务扫描,自动化溢出,多模式端口监听,exe、powershell木马生成等。
钓鱼攻击包括:站点克隆,目标信息获取,java执行,浏览器自动攻击等。
Cobalt Strike 主要用于团队作战,可谓是团队渗透神器,能让多个攻击者同时连接到团体服务器上,共享攻击资源与目标信息和sessions。
Cobalt Strike 作为一款协同APT工具,针对内网的渗透测试和作为apt的控制终端功能,使其变成众多APT组织的首选。
1. Cobalt Strike 4.2重新审视了Cobalt Strike的屏幕截图和击键记录工具。这两个功能现在都从其运行的上下文中报告当前用户,桌面会话和活动窗口标题。在日志,报告和用户界面中使用了此添加的上下文,来更好地讲述故事并提高操作员的意识。其次还添加了一种替代方法,使用强制PrintScr按键来拍摄屏幕截图。这是printscreen命令。并且,还添加了SetWindowsHookEx击键记录器选项。在用户的Malleable C2开发后块中指定了击键记录器的实现。
2.更新也对fork&run post-ex DLL的功能进行了改进。post-ex-> obfuscate选项现在使某些post-ex DLL中的行为能够掩盖post-ex DLL中嵌入的字符串,并仅在需要时才取消掩盖它们。屏幕截图和击键记录工具是此新行为的受益者。还添加了post-ex-> pipename来更改fork&run post-ex DLL用来将结果传达给Cobalt Strike的命名管道名称。并且,添加了post-ex-> thread_hint,以使post-ex DLL也创建具有欺骗性起始地址的新线程。
3. Beacon还获得了一些内存中的行为和IOC灵活性。magic_mz_x86,magic_mz_x64和magic_pe选项(在阶段代码块中)使用户可以将Beacon的Reflective DLL程序包中的MZ和PE魔术字节更改(由其加载程序使用)。阅读此文档,因为magic_mz_ *必须是有效的说明。现在,可以使用stage-> allocator选项指定Beacon的Reflective DLL包如何为已加载的Beacon有效负载分配内存。新选项包括HeapAlloc和MapViewOfFile。这些是默认VirtualAlloc和3.11的模块扩展之外的功能。
4.而且,更新也在Malleable C2上做了一些工作。新版本将useragent设置和已编译的http-get.client / http-post.client块的最大大小加倍。这意味着用户现在可以在配置文件中添加更多标题和参数。知道用户当中的几个人受到以前的限制。新的headers_remove选项是一种在HTTP事务后期强制删除指定的HTTP客户端标头的方法。如果WinInet添加了您不想要的标题,这就是用户摆脱它的方式。并且,添加了一个全局data_jitter选项。这是一种在信标的C2通信中的HTTP响应中具有随机长度噪声的方法。
5.沟通弹性也是一个主题。新版本全面审查了信标DNS控制器如何管理其缓存并跟踪/完成正在进行的事务的各个方面。如果你曾经看过“ [Beacon]保护了1个公开对话(罢工X为256)”;这些更改可解决此问题。受保护的对话行为是一个修补程序,前一段时间是为了解决[来自某些解析器]的无害DNS解析器行为,该行为在新版本的DNS C&C方法中造成了问题。撰写此最新的修订内容时,对DNS解析程序的行为有了更深刻的理解。还更新了Beacon的HTTP / S实现,以在检测到故障时重试将输出发送到CS的HTTP请求。
6.并且...还添加了rportfwd_local。就像rportfwd。它通过SSH或Beacon会话绑定端口。它将连接转发到指定的主机和端口。rportfwd_local与rportfwd的不同之处在于发起前向连接的位置。rportfwd_local从您的Cobalt Strike客户端启动连接。转发连接的流量封装在Cobalt Strike客户端和团队服务器之间的现有连接中。这是一种枢转模式,可通过信标轴使本地托管并与团队服务器基础结构分开的其他植入物或笔测试工具的控制器。
公众号回复
cs4.2
提示
一、本工具只能用于内部测试,请勿做非法利用,后果自负。
二、请在本工具下载完24小时内删除。违者后果自负。
三、遵纪守法,爱国爱民。