红队操作中的搭档——Cobalt Strike 让你的渗透测试更快更持久(下)
接上文
但是,这种动态编译方法要求在 Cobalt Strike 客户端系统上安装 Mono,因为 Mono 编译器会用于构建程序集。 目前,Linux 主机只支持动态编译操作系统,但是 Windows 和 macOS 将来可能会得到支持。 每种方法都有它们的优点和缺点,操作人员可以自由选择他们喜欢的方法。
在将有效载荷编译到用于WMI文件移动的程序集时,需要考虑的是文件大小。 目前,Cobalt Strike支持文件大小最大为 1MB 的执行程序集。 可能有时候生成的程序集会超过这个大小限制,在此之前,Cobalt Strike 会悄无声息地失败,除了在团队服务器上之外,Cobalt Strike 不会给出任何关于为什么没有执行的信息。 攻击者脚本内置了一个检查,如果已经达到程序集的大小限制,它将通知用户,并将错误(和潜在的修复提示)写到信标会话中。
图8ー程序集大小检查错误
如果未选择 WMI 文件写入方法,那么下一个可用的选项将是 SMB,它使用 Cobalt Strike 的文件上传功能,但正如前面提到的,它也内置到了程序集中(独立使用)。 WMI to Registry 和 Custom 选项的WMI 类仅在文件移动中公开。 这两种选项的主要用例是将数据(以 shellcode 为例)写入该位置,以及一个知道如何访问该数据的文件。 这很可能需要与自定义预构建文件结合使用。 无论如何,如果操作人员选择使用它,选项将保留在那里。
从该工具包创建的有效载荷都来自附带的模板,但这些都来自于其他公开项目。 强烈建议更改模板以适应你的需要。 在当前状态下,该工具的有效载荷生成方面还不是很成熟。在有效载荷生成组件中没有对 shellcode /源代码进行加密、混淆或密钥控制。 这个问题将来可能会得到解决,但是理想情况下,使用外部有效负载生成工具集或CI管道会更好。 此外,还有两个可用的自定义选项: 自定义预构建和自定义非预构建。 这些选项的目的是让用户在使用有效载荷时有一点更大的灵活性。 如果操作人员创建了一个需要快速部署的自定义有效载荷,那么可以使用自定义预构建选项,并且可以对其应用所有相同的选项,例如动态地将其编译到程序集中,并通过 WMI 事件或 SMB 移动程序集。 对于自定义选项,默认情况是执行一个二进制文件,命令为其完整路径和文件名。 由于有时情况并非总是如此,自定义选项为用户提供了覆盖该选项并运行自定义命令的选项(如果执行时需要设置特定的参数,则最好使用该选项)。
图9ー自定义预构建对话框
可以理解的是,有时用户可能会忘记哪些是可选的,哪些不是,因此构建了一个帮助对话框,可以提供所有选项含义的更多细节(图9)。
图10ー帮助菜单
除了为所有已实现的操作提供对话框外,还为所有“文件”操作构建了信标命令。 命令使用默认值,操作人员可以在“设置默认值”对话框中修改这些默认值。 信标命令将读取这些缺省值以及一些用于执行横向移动的参数。 每个任务参数包括图10)。 对于自定义预构建的二进制文件,参数是 。 一旦给出这个信息,它将像其他信标命令一样执行。
图11ー 信标(Beacon)命令
这个工具包中还缺少一些项目,这些项目将在未来实现,可以使它更加强大。 这样做的目的是为了在一定程度上可扩展,因为如果要在其中实现任何新技术,则应该只需要增加一些内容。 所有当前的模板都可以替换(并且应该替换,因为它们主要是位置设置) ,以满足操作人员的需要,并且可以将它们自己的模板放在原来的位置,但是文件名必须保持不变。 除了命名之外,还需要替换模板。 模板必须有一个find和replace字符串(默认为$$PAYLOAD$$,但可以更改),以便找到以适当格式放置替换代码的位置。 下面是 C# 中的一个例子。
string strSC = "$$PAYLOAD$$";byte[] sc = Convert.FromBase64String(strSC);
StayKit
Staykit 的操作与 MoveKit 非常相似,但只能在已经建立了 C2通信的主机上安装持久性,而不是通过远程任务。 该套件与 SharpStay 一起包装在同一个 .Net 程序集,其中的一个攻击者脚本用于处理持久有效载荷的用户功能和模板。 持久性并不是专门为 CobaltStrike 设计的,大多数公开可用的持久性脚本都有两种可靠性: Windows 二进制文件和 PowerShell。 这并不是说它们不好,它们是否可以使用非常依赖于环境。StayKit为操作人员提供了现有产品的替代品。
图12ー StayKit 菜单
Staykit 的持久性选项分为三类,分别是“权限提升(Elevated)”、“非权限提升(Non-Elevated)”和“杂项(Misc)”。 与 MoveKit 类似,StayKit 也有配置默认设置的选项,可以使持久性安装更快。 可用的持久性选项有:
· Elevated (权限提升)
· 注册表项(多个)
· UserInit
· 计划任务
· 服务
· WMI 事件订阅
· Non-Elevated (非权限提升)
· UserInitMprLogonScript