Cobalt Strike

Beacon, la charge utile post-exploitation de Cobalt Strike, exécute des scripts PowerShell, enregistre les frappes au clavier, prend des captures d'écran, télécharge des fichiers et génère d'autres charges utiles.

En utilisant une communication asynchrone "basse et lente" pour ne pas être détecté, Beacon peut simuler un attaquant intégré. En outre, le langage flexible de commande et de contrôle de Beacon, Malleable C2, peut être utilisé pour modifier les indicateurs de réseau afin de se fondre dans le trafic normal ou de dissimuler ses activités en émulant différents types de logiciels malveillants.

Cobalt Strike peut utiliser une attaque de type "man-in-the-browser" pour détourner les sessions web authentifiées d'un utilisateur compromis, ce qui permet aux utilisateurs de pivoter leur navigateur pour contourner l'authentification à deux facteurs et accéder aux sites qu'ils ciblent.

Le System Profiler de Cobalt Strike est idéal pour les activités de reconnaissance côté client. Il met en place un serveur web local, prend l'empreinte de tous ceux qui le visitent et les redirige ensuite vers un site légitime. De là, il peut découvrir l'adresse IP interne, les applications, les plugins et les informations sur la version du visiteur.

Plusieurs membres peuvent se connecter au serveur de l'équipe pour collaborer et communiquer en temps réel. Outre les sessions partagées, les membres de l'équipe peuvent également partager des hôtes, des données capturées et télécharger des fichiers.

Cobalt Strike dispose de plusieurs options de rapport pour la synthèse des données et l'analyse ultérieure. Les types de rapports comprennent : Activité - Hôtes - Indicateurs de compromission - Sessions - Ingénierie sociale - Tactiques, techniques, procédures