监听器
C2监听器
Cobalt Strike -> 监听器 -> 添加/编辑
,然后您可以选择监听的位置,使用哪种beacon(http,dns,smb...)等等。
Peer2Peer监听器
这些监听器的beacon不需要直接与C2通信,它们可以通过其他beacon与其通信。
Cobalt Strike -> 监听器 -> 添加/编辑
,然后您需要选择TCP或SMB beacon。
TCP beacon将在所选端口设置监听器。要连接到TCP beacon,请使用另一个beacon中的命令
connect <ip> <port>
smb beacon将在具有所选名称的pipename上进行监听。要连接到SMB beacon,您需要使用命令
link [target] [pipe]
。
生成和托管payloads
在文件中生成payloads
攻击 -> 包 ->
HTMLApplication
用于HTA文件MS Office Macro
用于带有宏的办公文档Windows Executable
用于.exe,.dll或服务.exeWindows Executable (S)
用于无阶段的.exe,.dll或服务.exe(无阶段比有阶段更好,IoC更少)
生成和托管payloads
攻击 -> Web Drive-by -> Scripted Web Delivery (S)
这将生成一个脚本/可执行文件,用于从cobalt strike下载beacon,格式可以是:bitsadmin,exe,powershell和python
托管Payloads
如果您已经有要托管在Web服务器上的文件,只需转到攻击 -> Web Drive-by -> Host File
,然后选择要托管的文件和Web服务器配置。
Beacon选项
避免杀毒软件
Artifact Kit
通常在/opt/cobaltstrike/artifact-kit
中,您可以找到cobalt strike将用于生成二进制beacon的代码和预编译模板(在/src-common
中)。
修改代码后,只需从同一目录运行./build.sh
,然后将dist-pipe/
文件夹复制到Windows客户端的C:\Tools\cobaltstrike\ArtifactKit
中。
不要忘记加载dist-pipe\artifact.cna
这个侵略性脚本,以指示Cobalt Strike使用我们想要的磁盘资源,而不是加载的资源。
资源工具包
资源工具包文件夹包含了Cobalt Strike基于脚本的载荷的模板,包括PowerShell、VBA和HTA。
修改检测到的行,可以生成一个不会被捕捉的模板。
不要忘记加载侵略性脚本 ResourceKit\resources.cna
,以指示Cobalt Strike使用我们想要的磁盘资源,而不是加载的资源。
最后更新于