Credit: Vince mcmahon
靈感來源: UCCU Hacker
常言道:「不會 CS 別說你懂資安」(純屬瞎掰)
今天我們要講的是一小段荒謬的對話
鑑識工程師:「我們在貴單位的 OOO 電腦裡面發現在 svchost 有 Cobalt Strike 的 Beacon 」
鑑識工程師:「之後我們又隨著 C2 去查詢貴單位的連線紀錄,發現有以下端點...」
(經過一連串冗長的調查分析報告)
客戶高級主管:「所以是因為我們有同仁下載了 CS 導致駭客入侵嗎? 那那個培根(Beacon) 又是甚麼」
客戶高級主管:「那我們需要加強公司同仁的軟體使用,不要在公司下載遊戲和不明軟體」
鑑識工程師(腦袋暫時當機)
Cobalt Strike 為國外知名商業滲透測試工具,
你可以把它想像成超級好用的 metasploit+armitiage ,
其本身是 java 寫的,但因為似乎太好破解了,
網路上很容易出現快樂版/破解版, 對於破解者唯一的問題就是要先獲得完整的伺服器安裝包。
Cobalt Strike 購買難度十分的高,如果你是從事合法的滲透測試產業,
你必須通過原廠的公司身家調查、提供使用者資訊、良民證...,
但儘管這樣還是無法抵擋外流安裝包,與駭客組織/網軍透過假公司購買這些後外流,
為什麼大家都愛用 Cobalt Strike? 讓我們採訪一下資深滲透測試人員、調查人員的想法