Cobalt Strike
Cobalt Strike 是什么?
Cobalt Strike一款商业化的对手模拟平台,广泛用于红队行动,也常被攻击者滥用于后渗透与命令控制。
Cobalt Strike 是由 Raphael Mudge 最初开发、现在由 Fortra 销售的商业威胁模拟工具。它提供 Team Server、Beacon 植入物、可变 C2 配置文件,以及钓鱼、横向移动、跳板与权限提升的工具,使红队能够真实地模拟高级入侵。破解和泄露版本已被勒索软件附属组织和国家级行为者大量采用,使其成为真实事件中最常被观察到的攻击框架之一。防御方通过 EDR、网络分析与 YARA 规则,对其 Beacon 流量、抖动模式与命名管道进行特征建模。合法使用需购买授权许可证并取得客户委托。
● 示例
- 01
红队使用伪装为 Microsoft 更新服务器的可变 C2 配置文件。
- 02
事件响应人员通过 Beacon 命名管道定位受感染主机。
● 常见问题
Cobalt Strike 是什么?
一款商业化的对手模拟平台,广泛用于红队行动,也常被攻击者滥用于后渗透与命令控制。 它属于网络安全的 防御与运营 分类。
Cobalt Strike 是什么意思?
一款商业化的对手模拟平台,广泛用于红队行动,也常被攻击者滥用于后渗透与命令控制。
Cobalt Strike 是如何工作的?
Cobalt Strike 是由 Raphael Mudge 最初开发、现在由 Fortra 销售的商业威胁模拟工具。它提供 Team Server、Beacon 植入物、可变 C2 配置文件,以及钓鱼、横向移动、跳板与权限提升的工具,使红队能够真实地模拟高级入侵。破解和泄露版本已被勒索软件附属组织和国家级行为者大量采用,使其成为真实事件中最常被观察到的攻击框架之一。防御方通过 EDR、网络分析与 YARA 规则,对其 Beacon 流量、抖动模式与命名管道进行特征建模。合法使用需购买授权许可证并取得客户委托。
如何防御 Cobalt Strike?
针对 Cobalt Strike 的防御通常结合技术控制与运营实践,详见上方完整定义。
Cobalt Strike 还有哪些其他名称?
常见的别称包括: Cobalt Strike Beacon, CS。
● 相关术语
- malware№ 201
命令与控制(C2)
攻击者用来与被入侵系统保持通信并下发指令的基础设施和通道。
- defense-ops№ 909
红队
进攻方安全团队,通过端到端模拟真实对手来评估组织的检测、遏制和响应能力。
- defense-ops№ 674
Metasploit
一款开源漏洞利用框架,将漏洞利用、载荷与后渗透模块整合到统一平台,供渗透测试人员和研究人员使用。
- defense-ops№ 606
横向移动
MITRE ATT&CK 战术 TA0008,涵盖攻击者从一个被攻陷主机扩展到环境中其他系统的各种技术。
- cryptography№ 846
后量子密码学
面向经典计算机与大规模量子计算机均能保持安全的经典密码算法体系。
- malware№ 902
勒索软件即服务(RaaS)
一种犯罪商业模式,勒索软件运营者将其恶意软件和基础设施租赁给执行攻击的关联方(affiliate),并按比例分成。
● 参见
- № 1070SolarWinds Sunburst
- № 887QakBot / QBot
- № 507IcedID / BokBot
- № 146Carbanak
- № 656Maze 勒索软件
- № 954Ryuk 勒索软件