CobaltStrike

前两天笔者写了一篇文章,有读者之后反馈,照着文中的方法做,虽然可以上线,但是发送命令不能正常回显。
CobaltStrike是一款渗透测试神器,被业界人称为CS神器。CobaltStrike分为客户端与服务端,服务端是一个,客户端可以有多个,可被团队进行分布式协团操作。
在上一节的的文章了,笔者对CobaltStrike的基本使用和PE样本进行了一个概要的分析。通过上一小节的内容,可了解CobaltStrike的基本原理和代码解密上线方法。在本节中,笔者将会对CobaltStrike其他类型的恶意样本进行一个分析。
CobaltStrike作为先进的红队组件,得到了多个红队和攻击者的喜爱。2020年年底的时候,看到有人在传cs4.2,于是顺便保存了一份。然后一拖就到了今天才打开,关于CobaltStrike外层木马的分析网上已经有很多,但是内层的payload好像没有多少分析文章,那我就刚好借4.2这个契机,详细分析一下CobaltStrike的组件。
execute-assembly是用于内存执行C#可执行文件的常用手法,当前metasploit-framework和cobalt strike都已经实现了execute-assembly功能。
metasploit-framework和cobalt strike(简称CS)是当前主流的两个红队评估工具.