- 17 فبراير 2021
- 353
- 1
- 950
- 93
- الجنس
- ذكر
Cobalt Strike هي أداة تم تطويرها للهكر الأخلاقي وعمليات الفريق الأحمر ولكن مثل العديد من أدوات الأمن السيبراني الهجومية الأخرى ، فقد وقعت في الأيدي الخطأ (هكر القبعات السوداء).
تجمع منصة هجوم الشبكة القوية هذه بين الهندسة الاجتماعية وأدوات الوصول غير المصرح بها وتشويش نمط الشبكة وآلية متطورة لنشر التعليمات البرمجية الخبيثة القابلة للتنفيذ على الأنظمة المخترقة. يمكن الآن للهكر استخدامه لشن هجمات التهديد المستمر (APT) ضد مؤسستك.
في هذه المقالة سوف تتعرف على:
يمكن استخدام اداة كوبال سترايك Cobalt Strike لإجراء تصيد بالرمح - spear phishing والحصول على وصول غير مصرح به post exploitation toolkit إلى الأنظمة ، ويمكنه محاكاة مجموعة متنوعة من البرامج الضارة - malicious software وأساليب التهديد المتقدمة الأخرى .
هي أداة مشروعة يستخدمها القراصنة الأخلاقيون في مجال cyber security، والتي تبلغ تكلفة تراخيص Cobalt Strike الجديدة 3500 دولار لكل مستخدم مقابل ترخيص لمدة عام واحد. تكلفة تجديد التراخيص 2500 دولار لكل مستخدم سنويًا من المبرمج رافائيل مودج. كما أنها تستخدم على نطاق واسع من قبل الجهات الفاعلة في التهديد لشن هجمات حقيقية ضد المنظمات.
يحصل بعض المهاجمين على الإصدار التجريبي من Cobalt Strike ويقومون بكسر المدة التجريبية له ، بينما قد يحصل الآخرون على نسخة تجارية من البرنامج.
الاستطلاع - Reconnaissance يكتشف برنامج العميل الذي يستخدمه هدفك ، مع معلومات الإصدار لتحديد نقاط الضعف المعروفة.
حزم الهجوم - Attack Packages توفر محرك هجوم الهندسة الاجتماعية ، وتقوم بإنشاء أحصنة طروادة كملفات بريئة مثل تطبيقات Java الصغيرة أو مستندات Microsoft Office أو برامج Windows ، وتوفر استنساخًا لموقع الويب website clone لتمكين التنزيلات من drive-by downloads.
التعاون — Collaboration يسمح خادم TeamCobalt لمضيف المجموعة بمشاركة المعلومات مع مجموعة من المهاجمين ، والتواصل في الوقت الفعلي ومشاركة التحكم في الأنظمة المخترقة.
نشر الاستغلال - Post Exploitation يستخدم Beacon ، يمكنها نشر البرامج النصية PowerShell ، وتسجيل ضغطات المفاتيح log keystrokes، والتقاط لقطات شاشة ، وتنزيل الملفات ، وتنفيذ حمولات أخرى execute other payloads.
الاتصالات السرية تمكن المهاجمين من تعديل مؤشرات الشبكة الخاصة بهم بشكل سريع. يجعل من الممكن تحميل ملفات تعريف C2 ، والخروج إلى شبكة باستخدام بروتوكول HTTP أو HTTPS أو DNS أو SMB.
محوري المستعرض — Browser Pivoting يمكن استخدامه للالتفاف حول المصادقة ذات العاملين.
يمكنه إجراء اتصال غير متزامن منخفض المستوى ، بالإضافة إلى اتصال تفاعلي في الوقت الفعلي مع خادم Cobalt Strike.
يمكن لـ Beacon تعديل توقيع الشبكة الخاص بها ، باستخدام ملفات تعريف C2 لتظهر كمهاجم آخر ، أو محاكاة سلوك أنواع مختلفة من البرامج الضارة ، أو التظاهر بأنها حركة مرور مشروعة.
توفر Beacon عدة أوامر لتنفيذ تعليمات برمجية ضارة على الجهاز المستهدف:
Cobalt Strike نفس نظام الارميتاج للتسهيل التعامل مع الميتاسبلوت لكن يوجد بعض الاضافات الخاصة فيها التي لا تتواجد في الارميتاج
قم بتنزيل OpenJDK لنظام Linux / x64 على:
ملاحظة: هل ترى رسالة JRELoadError؟ يقوم JavaAppLauncher المضمن في Cobalt Strike بتحميل مكتبة من مسار محدد لتشغيل JVM داخل عملية الروتين. لإصلاح هذا الخطأ:
تدعم معظم الانظمه الشائعة
تجمع منصة هجوم الشبكة القوية هذه بين الهندسة الاجتماعية وأدوات الوصول غير المصرح بها وتشويش نمط الشبكة وآلية متطورة لنشر التعليمات البرمجية الخبيثة القابلة للتنفيذ على الأنظمة المخترقة. يمكن الآن للهكر استخدامه لشن هجمات التهديد المستمر (APT) ضد مؤسستك.
في هذه المقالة سوف تتعرف على:
- ما هو الكوبالت سترايك
- ميزات الكوبالت سترايك
- آلية التسليم Cobalt Strike Beacon
- الكشف عن الكوبالت سترايك
- ماهو الفرق بين Cobalt Strike وال Armitage ؟
- أين أتعلم كيفية استخدام Cobalt Strike؟
ما هو الكوبالت سترايك Cobalt Strike؟
Cobalt Strike هي أداة اختبار اختراق مدفوعة بديلة لأداة الارميتاج Armitage، والتي تتيح لمختبري الاختراق وتدقيق الامان الوصول إلى مجموعة كبيرة ومتنوعة من قدرات الهجوم.يمكن استخدام اداة كوبال سترايك Cobalt Strike لإجراء تصيد بالرمح - spear phishing والحصول على وصول غير مصرح به post exploitation toolkit إلى الأنظمة ، ويمكنه محاكاة مجموعة متنوعة من البرامج الضارة - malicious software وأساليب التهديد المتقدمة الأخرى .
White Cobalt Strike
هي أداة مشروعة يستخدمها القراصنة الأخلاقيون في مجال cyber security، والتي تبلغ تكلفة تراخيص Cobalt Strike الجديدة 3500 دولار لكل مستخدم مقابل ترخيص لمدة عام واحد. تكلفة تجديد التراخيص 2500 دولار لكل مستخدم سنويًا من المبرمج رافائيل مودج. كما أنها تستخدم على نطاق واسع من قبل الجهات الفاعلة في التهديد لشن هجمات حقيقية ضد المنظمات.
يحصل بعض المهاجمين على الإصدار التجريبي من Cobalt Strike ويقومون بكسر المدة التجريبية له ، بينما قد يحصل الآخرون على نسخة تجارية من البرنامج.
ميزات الكوبالت سترايك
Cobalt Strike هو برنامج لمحاكاة التهديدات يوفر الإمكانات التالية:الاستطلاع - Reconnaissance يكتشف برنامج العميل الذي يستخدمه هدفك ، مع معلومات الإصدار لتحديد نقاط الضعف المعروفة.
حزم الهجوم - Attack Packages توفر محرك هجوم الهندسة الاجتماعية ، وتقوم بإنشاء أحصنة طروادة كملفات بريئة مثل تطبيقات Java الصغيرة أو مستندات Microsoft Office أو برامج Windows ، وتوفر استنساخًا لموقع الويب website clone لتمكين التنزيلات من drive-by downloads.
التعاون — Collaboration يسمح خادم TeamCobalt لمضيف المجموعة بمشاركة المعلومات مع مجموعة من المهاجمين ، والتواصل في الوقت الفعلي ومشاركة التحكم في الأنظمة المخترقة.
نشر الاستغلال - Post Exploitation يستخدم Beacon ، يمكنها نشر البرامج النصية PowerShell ، وتسجيل ضغطات المفاتيح log keystrokes، والتقاط لقطات شاشة ، وتنزيل الملفات ، وتنفيذ حمولات أخرى execute other payloads.
الاتصالات السرية تمكن المهاجمين من تعديل مؤشرات الشبكة الخاصة بهم بشكل سريع. يجعل من الممكن تحميل ملفات تعريف C2 ، والخروج إلى شبكة باستخدام بروتوكول HTTP أو HTTPS أو DNS أو SMB.
محوري المستعرض — Browser Pivoting يمكن استخدامه للالتفاف حول المصادقة ذات العاملين.
آلية التسليم Cobalt Strike Beacon
تستخدم Cobalt Strike بيكون للحصول على موطئ قدم على شبكة مستهدفة وتنزيل البايلود الضار وتنفيذه. يمكن نقله عبر بروتوكول HTTP أو HTTPS أو DNS أو بروتوكول Windows SMB.يمكنه إجراء اتصال غير متزامن منخفض المستوى ، بالإضافة إلى اتصال تفاعلي في الوقت الفعلي مع خادم Cobalt Strike.
يمكن لـ Beacon تعديل توقيع الشبكة الخاص بها ، باستخدام ملفات تعريف C2 لتظهر كمهاجم آخر ، أو محاكاة سلوك أنواع مختلفة من البرامج الضارة ، أو التظاهر بأنها حركة مرور مشروعة.
توفر Beacon عدة أوامر لتنفيذ تعليمات برمجية ضارة على الجهاز المستهدف:
- ينفذ Shell أمرًا عبر cmd.exe
- يقوم التشغيل بتنفيذ أمر بدون cmd.exe وبدون إظهار الإخراج
- يقوم Execute بتشغيل الأمر كعملية في الخلفية
- ينفذ كود PowerShell على الجهاز المخترق
- يقوم بالحقن في العملية بواسطة Psinject بتشغيل PowerShell غير المُدار في عملية محددة وينفذ أوامر cmdlets الخاصة بك في العملية المخترقة
- يقوم Powershell-import باستيراد برنامج PowerShell النصي من مصدر خارجي
- يقوم Execute-Assembly بتشغيل .NET المحلي القابل للتنفيذ كوظيفة ما بعد الاستكشاف
- تحدد Setenv متغير بيئة على الجهاز المخترق
الكشف عن الكوبالت سترايك
قد يكون من الصعب اكتشاف خوادم Cobalt Strike ، لكن الإصدارات القديمة غير المصححة من البرنامج تكون أكثر وضوحًا. يمكنك الجمع بين عدة تقنيات لتحديد Cobalt Strike:- ابحث عن شهادة TLS الافتراضية من المطور الرسمي. إذا لم يغير المسؤول ذلك ، فهذه علامة أكيدة.
- يتفاعل خادم Cobalt Strike DNS مع الطلبات بعنوان IP زائف (0.0.0.0) إذا كان مشغولاً
- ابحث عن منفذ مفتوح على 50050 / TCP
- قم بإجراء طلب HTTP وابحث عن خطأ 404 Not Found
- على الرغم من أنه لا يزال هناك مجال للخطأ ، إلا أن خلط مجموعة متنوعة من تقنيات الكشف يجب أن يوفر نتائج عالية الثقة. ومع ذلك ، يظل استخدام شهادة TLS الافتراضية هذه الطريقة الأكثر وضوحًا للتعرف على مضيف Cobalt Strike.
- افحص حركة مرور الشبكة المشبوهة وابحث عن تفاوض TLS بين المضيف والخادم البعيد. يمكن استخدام بصمات TLS مثل إصدار البروتوكول والأصفار المعتمدة لتحديد خادم Cobalt Strike. يمكنك استخدام JA3 لإنشاء بصمات عميل SSL.
ماهو الفرق بين Cobalt Strike وال Armitage ؟
هي نسخة مصغرة من Armitage تسهل عليك اسخدام Metasploit تقوم بتطبيق اوامر الميتا بواجهة رسومية بكل بساطه. سهولة الاستخدام والتحكم في الضحايا .سهولة استغلال الثغرات كذلك تنظيم الثغرات وترتيبهاCobalt Strike نفس نظام الارميتاج للتسهيل التعامل مع الميتاسبلوت لكن يوجد بعض الاضافات الخاصة فيها التي لا تتواجد في الارميتاج
- Anti-virus Evasion
- Auto-exploit Server
- Beacon Payload for Covert Communication
- Browser Pivoting
- Distributed Operations
- DNS Command and Control and Pivoting
- Improved PsExec Workflow
- Listener Management
- Reporting
- Social Engineering Packages
- Smart Applet Attacks
- Spear Phishing
- System Profiler
- VNC Integration
- VPN Pivoting
- Website Clone Tool
- team server
متطلبات التشغيل
- 2 GHz+ processor
- 2 GB RAM
- 500MB+ available disk space
- OpenJDK 11
- Oracle Java 11
- Oracle Java 1.8
- Oracle's Java 1.8 is the best of these supported options.
تعليمات تثبيت OpenJDK
Linux (Kali ، Ubuntu 18.04)- تحديث APT
- قم بتثبيت OpenJDK 11 مع APT
- اجعل OpenJDK 11 الافتراضي:
لينكس (أخرى)
قم بإلغاء تثبيت حزمة (حزم) OpenJDK الحاليةقم بتنزيل OpenJDK لنظام Linux / x64 على:
نرجو منك
تسجيل الدخول
او
تسجيل
لتتمكن من رؤية الرابط
- استخراج OpenJDK:
- انقل مجلد OpenJDK إلى /usr/local :
- أضف ما يلي إلى ~/.bashrc
- قم بتحديث ~/.bashrc لجعل متغيرات البيئة الجديدة نافذة المفعول
نظام التشغيل MacOS X
- قم بتنزيل OpenJDK لنظام macOS / x64 على: نرجو منك تسجيل الدخول او تسجيل لتتمكن من رؤية الرابط
- افتح Terminal وانتقل إلى التنزيلات / المجلد.
- استخراج الأرشيف:
- انقل الأرشيف المستخرج إلى / Library / Java / JavaVirtualMachines / :
و جافا والأمر على ماك X استخدام الإصدار الأعلى جافا في / المكتبة / جافا كما الافتراضي.
ملاحظة: هل ترى رسالة JRELoadError؟ يقوم JavaAppLauncher المضمن في Cobalt Strike بتحميل مكتبة من مسار محدد لتشغيل JVM داخل عملية الروتين. لإصلاح هذا الخطأ:
- استبدل jdk-11.0.2.jdk بمسار Java الخاص بك. سيستخدم إصدار Cobalt Strike التالي Java Application Stub لنظام MacOS X الأكثر مرونة.
تثبيت الجافا في ويندوز
قم بتنزيل OpenJDK لنظام التشغيل Windows / x64 على:نرجو منك
تسجيل الدخول
او
تسجيل
لتتمكن من رؤية الرابط
- استخرج الأرشيف إلى c:\program files\jdk-11.0.1
- أضف c:\program files\jdk-11.0.\bin إلى متغير بيئة PATH للمستخدم
- انتقل إلى لوحة التحكم -> النظام -> تغيير الإعدادات -> خيارات متقدمة -> متغيرات البيئة ...
- تمييز المسار في متغيرات المستخدم للمستخدم
- اضغط على تعديل
- اضغط على جديد
- النوع: c:\program files\jdk-11.0.1\ bin
- اضغط على موافق في جميع الحوارات
تدعم معظم الانظمه الشائعة
- Windows XP, Windows 10, Windows 2008 Server, Windows Vista, and Windows 7
- MacOS X 10.6 or above
- Kali Linux
- Ubuntu Linux x86 and x86_64