鬼故事 - CS 高手

Credit: Vince mcmahon
靈感來源: UCCU Hacker

故事開始

常言道：「不會 CS 別說你懂資安」(純屬瞎掰)

今天我們要講的是一小段荒謬的對話
鑑識工程師：「我們在貴單位的 OOO 電腦裡面發現在 svchost 有 Cobalt Strike 的 Beacon 」
鑑識工程師：「之後我們又隨著 C2 去查詢貴單位的連線紀錄，發現有以下端點...」
(經過一連串冗長的調查分析報告)
客戶高級主管：「所以是因為我們有同仁下載了 CS 導致駭客入侵嗎? 那那個培根(Beacon) 又是甚麼」
客戶高級主管：「那我們需要加強公司同仁的軟體使用，不要在公司下載遊戲和不明軟體」
鑑識工程師(腦袋暫時當機)

資安延伸

Cobalt Strike 為國外知名商業滲透測試工具，
你可以把它想像成超級好用的 metasploit+armitiage ，
其本身是 java 寫的，但因為似乎太好破解了，
網路上很容易出現快樂版/破解版， 對於破解者唯一的問題就是要先獲得完整的伺服器安裝包。

Cobalt Strike 購買難度十分的高，如果你是從事合法的滲透測試產業，
你必須通過原廠的公司身家調查、提供使用者資訊、良民證...，
但儘管這樣還是無法抵擋外流安裝包，與駭客組織/網軍透過假公司購買這些後外流，

為什麼大家都愛用 Cobalt Strike? 讓我們採訪一下資深滲透測試人員、調查人員的想法

• GUI，夠懶人！
• Easy to Deploy ，好在別台做跳板
• Beacon 很容易融合到自己的後門
• 快樂版(破解版)容易取得
• 用別人的減少被發現是哪個攻擊族群的風險
• Linux/Mac/Windows 通用
• 可以自訂 Module ，減少內部人員的學習成本