ARİDOSHİKA

Ulaşabildiğin her yerde

Cobalt Strike Kullanımı

2 min read

Cobalt Strike, Armitage’ın aynı geliştiricileri tarafından yıllık maliyeti  2,500 dolar olan  daha gelişmiş bir penetrasyon test paketidir. Aracımızın görseli neredeyse Armitage ile aynı ama içerikler kısmında farklılıklar göze çarpıyor.
Armitage’ı biliyorsanız ilk bakışta Cobalt Strike arayüzünü tanımanız gerekir. Cobalt Strike Metasploit Çerçevesine temiz bir grafik arayüz sağlamanın yanı sıra,
Beacon adlı kendi post geliştirme aracı da dahil olmak üzere kendi ileri özellikleriyle birlikte gelir
Cobalt Strike’yi https://www.cobaltstrike.com adresinden 2.500 doları verip 1 yıllık lisans ile alabilir veya denemek için 21 günlük deneme paketini indirebilirsiniz.
Cobalt Strike’yi geliştiren abiler herşeyi düşünmüş birde denememiz için test laboratuvarı hazırlamışlar.Gelin Cobalt Strike’yi birlikte biraz inceleyelim.

 

Dinleyiciler

Kobalt Strike sizin için rutin görevleri yerine getirmekte gerçekten çok iyi. Dinleyicileri ayarlamak birkaç tıklama kadar basittir ve ardından bir ad, yük tipi, IP ve port belirterek. Gerçek ödül, çeşitli ekip sunucularında yükler üretmek ve oturumlar üretirken daha sonra gelir; Cobalt Strike’ın hepsini yönetme şekli inanılmaz bir zaman tasarrufu. Daha sonra bununla ilgili daha fazla şey.

 

Beacon Payloads

Beacon Kobalt Strike’ın asimetrik sonrası sömürü aracıdır ve hasım öykünmesi için ne  kullanmak aracı. Şimdiye kadar Beacon’ın piyasada bulunan en gelişmiş post sonrası ticaret yükü olduğunu söyleyeceğim. Http, https ve DNS gibi farklı protokolleri kullanan Beacon yüklerinin birkaç farklı varyasyonu üretebilirsiniz.

Bir hedefe implante edildikten sonra, Beacon gizlice komutları ve diğer gelişmiş yükleri yürütebilir. Metrepreter oturumlarını mevcut iletişim kanalı üzerinden tünelleyebilir, diğer süreçlere enjekte edebilir, belirteçleri çalabilir, altın bilet kullanabilir ve çok daha fazlasını yapabilirsiniz. Ancak, keşfettiğim en yararlı Beacon özelliği, Powershell komut dosyalarını bellekten çalıştırma yeteneğiydi. Beacon aracılığıyla Powershell komutlarını çalıştırmak, yazmak kadar basittir, powershell. Bütün bir ps1 komut dosyasını çalıştırmak istediğimde yazarken olduğu gibi basitti, powershell-importve sonra yeni alınan fonksiyonları çağırmak. Powershell komut dosyalarını tel üzerinden çalıştırmak için bu yeni yetenek benim genel iş akışımı değiştirdiğini buldum. İlk post sonrası sömürü görevlerimden bazıları kısa sürede PowerConnect, Powerview ve Invoke-Mimikatz’ı Beacon’dan geçti.

 

Beacon’un son bir özelliği, SMB üzerinden bağlantı zincirleme özelliğini vurgulamak istiyorum. Zincirleme, her Beacon’un güvenlik duvarı üzerinden çağırdığı tek bir veri kanalı aracılığıyla verilerin çıkışında bulunmanın harika bir yoludur ve bana daha önce sahip olmadığım veri akışlarımı ayrıntılı bir şekilde kontrol etmiştir.

 

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.

0