Test av Cobalt Strike

Cobalt Strike

För några månader sedan så införskaffade jag en licens till Cobalt Strike (CS). Jag tänkte dela med mig av mina erfarenheter om vad CS är och vad et kan användas till.

CS är ett kommersiellt bakdörrs-ramverk (C2 framework) som hjälper dig att kommunicera och utföra operationer. Du kan enkelt anpassa ramverket för att försvåra för antivirus-mjukvaror och liknande att upptäcka CS. Det finns även vissa likheter mellan Metasploits Meterpreter och CS, även om Metasploit är kompatibelt med CS.

CS består av tre olika komponenter kan man förenklat säga:

  • Teamserver – Serverdelen som sköter kommunikationen
  • Operatörsklient – Används för att erhålla ett grafiskt gränssnitt och ansluta mot serverdelen. Har chatt osv som gör klienten bra att använda vid Red Teaming-operationer där ni är många.
  • Implantat – Den payload som ska exekveras på målet och skicka beacons till teamserver. Finns som stage och stage-less.

Viktigt också är att veta vad CS inte är:

  • Hjälper dig inte att identifiera sårbarheter
  • Få exploits, enbart 2-3 stycken
  • Implantatet (C2-klienten) funkar enbart på Windows

Mina egna favoriter när det gäller CS är följande:

  • Malleable profiles – Möjliggör unik beacon-nätverkstrafik
  • Man in the browser – Gör att du kan använda webbläsaren som en proxy och använda autentiserade sessioner med smartcards exempelvis
  • Utbildning – Grundaren Raphael Mudge har lagt upp hundratals videos på YouTube för den som vill lära sig.
  • Artifact Kit – För dig som vill ändra implantatet så inte antivirus upptäcker din bakdörr.

För den som vill hålla sig uppdaterad med nya funktioner rekommenderar jag att följa den ändringslogg som återfinnes här: https://www.cobaltstrike.com/releasenotes.txt

Kostnaden för en licens ligger på 35000 SEK första året och sedan 25000 SEK efterkommande år.

Jonas Lejon

Om Jonas Lejon

En av sveriges främsta experter inom cybersäkerhet med över 20 års erfarenhet. Frågor? Kontakta mig på: [email protected] eller LinkedIn Twitter

1 comments

  1. Pingback: Identifiera beacons (bakdörrstrafik) med RITA • Cybersäkerhet och IT-säkerhet

Skriv en kommentar