红蓝对抗专题之CobaltStrike应用攻击手段实例分析

红蓝对抗专题之CobaltStrike应用攻击手段实例分析

前言

威胁情报中心已经陆续监测捕获了一些红蓝对抗行动相关的样本,猎影实验室对这些样本进行了分析和关联,并对之进行了一定的总结,本文就CobaltStrike在红蓝对抗中的应用展开叙述。

CobaltStrike简介

Cobalt Strike是熟知的渗透测试利器,功能十分强大,可扩展性强,从前期载荷生成、诱饵捆绑、钓鱼攻击到载荷植入目标成功后的持续控制、后渗透阶段都可以很好支持,几乎覆盖攻击链的各个阶段。并且支持多种上线方式,以及多种丰富的配置可以达到非常好的隐蔽效果。CS teamserver团队服务器又可以使众多CS客户端连上它,以进行团队协作。

如此优秀的渗透测试框架自然得到了众多黑客和APT组织的青睐,纷纷应用到真实攻击活动中。

通过安恒Sumap全球网络空间超级雷达对CS指纹进行探测,在不完全统计的情况下就已发现上千台活跃的C2服务器,

其中还包含了些许CS服务器的IPv6资产,分布于中国、美国、俄罗斯、德国、日本、新加坡等地。

CobaltStrike在红蓝对抗中的应用

在捕获的多方红蓝对抗样本中,最终载荷几乎都用到了CobaltStrike。

Malleable C2应用

其中Cobalt Strike Malleable C2是不得不提的点,Malleable C2即为“可定制”的C2,可以通过配置文件,来修改CS beacon和C2的流量和行为特征。

通过配置的修改,可以使C2流量混合在目标环境流量中,伪装为正常应用流量,达到欺骗的作用。

如通过构造配置将流量伪装为Bing流量

经配置后Beacon的会话元数据通过编码放在了bing搜索字段中,并且Host和User-Agent等内容也经过了伪装修改。

在红蓝对抗样本中也碰到了多个样本对Malleable C2的使用,

如将Host修改为microsoft相关的常见域名,Referer倒是用了公开参考的配置文件里的一些默认配置,对jquery有一定的偏好。

并且使用了Beacon Stager Payload,在Stager配置项中使用jquery-3.3.2.slim.min.js这类的请求访问,并结合高度伪装的域名,达到高度伪装。

样本中也存在Stageless对jquery形式的伪装情形。

Beacon的编码处理

在网络中直接请求下载一个未特殊处理的Beacon比较容易被设备察觉,使用的Beacon本身可能存在一些特征可被检测,可以通过一些方法进行对抗。在捕获的样本中就存在Downloader下载经过编码的页面内容,再解密执行。

如捕获到的一类样本会进行多阶段下载,其中会调用一个C# Downloader,访问远程链接下载执行,

远程内容经过编码,

获取字符串内容后通过base64和gzip进行还原,并加载执行。

载荷为CobaltStrike。

暴露的CS服务器

除了通过样本特征和流量特征可以辨识出CobaltStrike外,CobaltStrike服务器还有一些指纹特性,如使用默认https证书、特殊字符信息、Teamserver默认端口50050等。

在多个捕获的红蓝对抗样本的回连服务器中就命中了Sumap全球网络空间超级雷达的情报探测结果。

Sumap产出资产情报有效赋能于威胁情报中心平台,使平台更好的服务于红蓝对抗实战。

如何防御

安恒APT预警平台,安恒APT预警平台能够发现已知或未知的威胁,APT预警平台 的实时监控能力能够捕获并分析邮件附件投递文档或程序的威胁性,并能够对邮件投递,漏洞利用、安装植入、回连控制等各个阶段做强有力的监测。结合安恒威胁情报系统,可将国内外的威胁数据进行汇总,并分析整个攻击演进和联合预警。

安恒威胁情报中心,拥有专业威胁情报分析团队,分析安全威胁数据、跟踪APT事件,以及多源情报数据的分析,形成了高价值的威胁情况库。分析的情报包括恶意文件、僵尸网络、C2、扫描IP、黑产IP、挖矿等60余类情报数据等。通过提供威胁情报数据与服务,可为用户提升区域安全态势感知、未知威胁检测、威胁溯源分析、主动防御等场景的智能化程度;依托该核心数据能力,提供威胁情报数据,威胁情报检测等专业能力。