APT组织最喜欢的工具 Cobalt Strike (CS) 实战

一、Cobalt Strike 背景

Cobalt Strike 在威胁攻击者的恶意活动中的使用次数正在增加。从 2019 年到 2020 年，使用Cobalt Strike 的威胁攻击者增加了 161%，Cobalt Strike负载相关的钓鱼邮件数量仍逐年上升。

除了APT组织和间谍攻击者，目前Cobalt Strike 也被很多网络犯罪和恶意软件运营者使用。

当映射到 MITRE ATT&CK 框架时，Proofpoint公司的分析人员更关注，此工具在攻击链的初始访问、命令执行和持久驻留等阶段所起的作用。也就是说：威胁攻击者如何试图破坏主机以及他们首先部署哪些有效载荷？根据Proofpoint的数据评估，攻击者中越来越喜欢将Cobalt Strike作为初始访问有效载荷，而不仅仅是现访问后，作为第二阶段的远控工具使用。

2020 年 12 月，全世界都知道了一场广泛而有效的间谍活动，该活动成功地为流行的网络监控软件 SolarWinds 设置了后门程序。据调查人员透露，攻击者使用的工具包括 Cobalt Strike Beacon。这项备受瞩目的活动是智能攻击链的一部分，使高级威胁攻击者能够暗中破坏相对较少数量的受害者。根据他们的需求进行定制的工具已有近十年的历史，但近年来越来越受欢迎。

Cobalt Strike 于 2012 年首次亮相，以应对现有红队工具 Metasploit 框架中的漏洞。2015 年，Cobalt Strike 3.0 作为独立的对手仿真平台推出。到 2016 年，Proofpoint 研究人员攻击者中越来越喜欢将Cobalt Strike作为初始访问有效载荷，而不仅仅是现访问后，作为第二阶段的远控工具使用。

Cobalt Strike 被各种威胁攻击者使用，虽然网络犯罪分子和 APT 组织在其活动中利用类似的工具并不罕见࿰