Cobalt Strike
¿Qué es Cobalt Strike?
Cobalt StrikePlataforma comercial de simulacion adversaria ampliamente usada en operaciones de red team y frecuentemente abusada por atacantes para post-explotacion y mando y control.
Cobalt Strike es una herramienta comercial de emulacion de amenazas creada inicialmente por Raphael Mudge y vendida actualmente por Fortra. Incluye un team server, el implante Beacon, perfiles maleables de C2 y utilidades para phishing, movimiento lateral, pivoteo y escalada de privilegios, permitiendo a los red teams simular intrusiones avanzadas de forma realista. Versiones crackeadas y filtradas han sido adoptadas masivamente por afiliados de ransomware y actores estatales, convirtiendola en uno de los frameworks ofensivos mas observados en incidentes reales. Los defensores caracterizan su trafico Beacon, los patrones de jitter y los named pipes mediante EDR, analitica de red y reglas YARA. Su uso licito requiere licencia y autorizacion del cliente.
● Ejemplos
- 01
Un red team usando un perfil maleable de C2 que imita un servidor de actualizaciones de Microsoft.
- 02
Un respondedor de incidentes pivota sobre el named pipe del Beacon para localizar hosts infectados.
● Preguntas frecuentes
¿Qué es Cobalt Strike?
Plataforma comercial de simulacion adversaria ampliamente usada en operaciones de red team y frecuentemente abusada por atacantes para post-explotacion y mando y control. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Cobalt Strike?
Plataforma comercial de simulacion adversaria ampliamente usada en operaciones de red team y frecuentemente abusada por atacantes para post-explotacion y mando y control.
¿Cómo funciona Cobalt Strike?
Cobalt Strike es una herramienta comercial de emulacion de amenazas creada inicialmente por Raphael Mudge y vendida actualmente por Fortra. Incluye un team server, el implante Beacon, perfiles maleables de C2 y utilidades para phishing, movimiento lateral, pivoteo y escalada de privilegios, permitiendo a los red teams simular intrusiones avanzadas de forma realista. Versiones crackeadas y filtradas han sido adoptadas masivamente por afiliados de ransomware y actores estatales, convirtiendola en uno de los frameworks ofensivos mas observados en incidentes reales. Los defensores caracterizan su trafico Beacon, los patrones de jitter y los named pipes mediante EDR, analitica de red y reglas YARA. Su uso licito requiere licencia y autorizacion del cliente.
¿Cómo defenderse de Cobalt Strike?
Las defensas contra Cobalt Strike combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Cobalt Strike?
Nombres alternativos comunes: Cobalt Strike Beacon, CS.
● Términos relacionados
- malware№ 201
Mando y control (C2)
Infraestructura y canales que los atacantes usan para mantener comunicación con los sistemas comprometidos y enviarles instrucciones.
- defense-ops№ 909
Red Team
Grupo de seguridad ofensiva que emula adversarios reales de extremo a extremo para evaluar cómo la organización detecta, contiene y responde a ataques.
- defense-ops№ 674
Metasploit
Marco de explotación de codigo abierto que reune exploits, payloads y modulos de post-explotacion en una unica plataforma para pentesters e investigadores.
- defense-ops№ 606
Movimiento Lateral
Táctica MITRE ATT&CK (TA0008) que cubre las técnicas con las que el atacante pivota de un host comprometido a otros sistemas del entorno.
- cryptography№ 846
Criptografía post-cuántica
Algoritmos criptográficos clásicos diseñados para seguir siendo seguros frente a ataques de ordenadores clásicos y cuánticos a gran escala.
- malware№ 902
Ransomware como servicio (RaaS)
Modelo de negocio criminal en el que los operadores de ransomware alquilan su malware e infraestructura a afiliados, que ejecutan los ataques y comparten las ganancias.
● Véase también
- № 1070SolarWinds Sunburst
- № 887QakBot / QBot
- № 507IcedID / BokBot
- № 146Carbanak
- № 656Ransomware Maze
- № 954Ransomware Ryuk