红蓝对抗专题之CobaltStrike应用攻击手段实例分析

前言

威胁情报中心已经陆续监测捕获了一些红蓝对抗行动相关的样本，猎影实验室对这些样本进行了分析和关联，并对之进行了一定的总结，本文就CobaltStrike在红蓝对抗中的应用展开叙述。

CobaltStrike简介

Cobalt Strike是熟知的渗透测试利器，功能十分强大，可扩展性强，从前期载荷生成、诱饵捆绑、钓鱼攻击到载荷植入目标成功后的持续控制、后渗透阶段都可以很好支持，几乎覆盖攻击链的各个阶段。并且支持多种上线方式，以及多种丰富的配置可以达到非常好的隐蔽效果。CS teamserver团队服务器又可以使众多CS客户端连上它，以进行团队协作。

如此优秀的渗透测试框架自然得到了众多黑客和APT组织的青睐，纷纷应用到真实攻击活动中。

通过安恒Sumap全球网络空间超级雷达对CS指纹进行探测，在不完全统计的情况下就已发现上千台活跃的C2服务器，

其中还包含了些许CS服务器的IPv6资产，分布于中国、美国、俄罗斯、德国、日本、新加坡等地。

CobaltStrike在红蓝对抗中的应用

在捕获的多方红蓝对抗样本中，最终载荷几乎都用到了CobaltStrike。

Malleable C2应用

其中Cobalt Strike Malleable C2是不得不提的点，Malleable C2即为“可定制”的C2，可以通过配置文件，来修改CS beacon和C2的流量和行为特征。

通过配置的修改，可以使C2流量混合在目标环境流量中，伪装为正常应用流量，达到欺骗的作用。

如通过构造配置将流量伪装为Bing流量

经配置后Beacon的会话元数据通过编码放在了bing搜索字段中，并且Host和User-Agent等内容也经过了伪装修改。

在红蓝对抗样本中也碰到了多个样本对Malleable C2的使用，

如将Host修改为microsoft相关的常见域名，Referer倒是用了公开参考的配置文件里的一些默认配置，对jquery有一定的偏好。

并且使用了Beacon Stager Payload，在Stager配置项中使用jquery-3.3.2.slim.min.js这类的请求访问，并结合高度伪装的域名，达到高度伪装。

样本中也存在Stageless对jquery形式的伪装情形。

Beacon的编码处理

在网络中直接请求下载一个未特殊处理的Beacon比较容易被设备察觉，使用的Beacon本身可能存在一些特征可被检测，可以通过一些方法进行对抗。在捕获的样本中就存在Downloader下载经过编码的页面内容，再解密执行。

如捕获到的一类样本会进行多阶段下载，其中会调用一个C# Downloader，访问远程链接下载执行，

远程内容经过编码，

获取字符串内容后通过base64和gzip进行还原，并加载执行。

载荷为CobaltStrike。

暴露的CS服务器

除了通过样本特征和流量特征可以辨识出CobaltStrike外，CobaltStrike服务器还有一些指纹特性，如使用默认https证书、特殊字符信息、Teamserver默认端口50050等。

在多个捕获的红蓝对抗样本的回连服务器中就命中了Sumap全球网络空间超级雷达的情报探测结果。

Sumap产出资产情报有效赋能于威胁情报中心平台，使平台更好的服务于红蓝对抗实战。

如何防御

安恒APT预警平台，安恒APT预警平台能够发现已知或未知的威胁，APT预警平台 的实时监控能力能够捕获并分析邮件附件投递文档或程序的威胁性，并能够对邮件投递，漏洞利用、安装植入、回连控制等各个阶段做强有力的监测。结合安恒威胁情报系统，可将国内外的威胁数据进行汇总，并分析整个攻击演进和联合预警。

安恒威胁情报中心，拥有专业威胁情报分析团队，分析安全威胁数据、跟踪APT事件，以及多源情报数据的分析，形成了高价值的威胁情况库。分析的情报包括恶意文件、僵尸网络、C2、扫描IP、黑产IP、挖矿等60余类情报数据等。通过提供威胁情报数据与服务，可为用户提升区域安全态势感知、未知威胁检测、威胁溯源分析、主动防御等场景的智能化程度；依托该核心数据能力，提供威胁情报数据，威胁情报检测等专业能力。