APT组织最喜欢的工具 Cobalt Strike (CS) 实战

一、Cobalt Strike 背景

Cobalt Strike 在威胁攻击者的恶意活动中的使用次数正在增加。从 2019 年到 2020 年,使用Cobalt Strike 的威胁攻击者增加了 161%,Cobalt Strike负载相关的钓鱼邮件数量仍逐年上升。

除了APT组织和间谍攻击者,目前Cobalt Strike 也被很多网络犯罪和恶意软件运营者使用。

当映射到 MITRE ATT&CK 框架时,Proofpoint公司的分析人员更关注,此工具在攻击链的初始访问、命令执行和持久驻留等阶段所起的作用。也就是说:威胁攻击者如何试图破坏主机以及他们首先部署哪些有效载荷?根据Proofpoint的数据评估,攻击者中越来越喜欢将Cobalt Strike作为初始访问有效载荷,而不仅仅是现访问后,作为第二阶段的远控工具使用。

2020 年 12 月,全世界都知道了一场广泛而有效的间谍活动,该活动成功地为流行的网络监控软件 SolarWinds 设置了后门程序。据调查人员透露,攻击者使用的工具包括 Cobalt Strike Beacon。这项备受瞩目的活动是智能攻击链的一部分,使高级威胁攻击者能够暗中破坏相对较少数量的受害者。根据他们的需求进行定制的工具已有近十年的历史,但近年来越来越受欢迎。

Cobalt Strike 于 2012 年首次亮相,以应对现有红队工具 Metasploit 框架中的漏洞。2015 年,Cobalt Strike 3.0 作为独立的对手仿真平台推出。到 2016 年,Proofpoint 研究人员攻击者中越来越喜欢将Cobalt Strike作为初始访问有效载荷,而不仅仅是现访问后,作为第二阶段的远控工具使用。

Cobalt Strike 被各种威胁攻击者使用,虽然网络犯罪分子和 APT 组织在其活动中利用类似的工具并不罕见࿰

你可能感兴趣的:(全栈网络安全,渗透测试,代码审计,网络安全工具开发,网络)