在网络安全运营,护网HVV,重保活动,攻防演练的过程中,Cobalt Strike beacon是一个无法绕过的话题。通常出现的Cobalt Strike beacon都不是以明文的形式出现,而是针对Cobalt Strike beacon关键的内容进行混淆,编码来绕过网络安全产品(IDS,WAF,沙箱,邮件网关,EDR等)产品的检测。本文介绍一种曾经通过powershell加载 Cobalt Strike beacon 的绕过方式,作为《Cyberchef 从入门到精通教程》中的一篇,这里。通过解析该绕过方式,希望能够对于日常解读Cobalt Strike beacon文件提供参考思路。
Cobalt Strike beacon介绍
Cobalt Strike 是一款合法的渗透测试工具,广泛用于网络安全测试和红队操作,但也被黑客滥用于恶意活动。Cobalt Strike Beacon 是 Cobalt Strike 工具中的一种后渗透攻击 payload,具有强大的功能,可以在被攻陷的系统上执行各种操作。总的来说Cobalt Strike Beacon是一段小巧的代码片段,用来和服务器建立连接。
powershell介绍
PowerShell 是一种任务自动化和配置管理框架,由 Microsoft 开发。它由一个命令行外壳和一个相关的脚本语言组成,记住powershell是windows系统的脚本语言即可,和Linux的shellcode脚本类似。