HTML Application Attack
Cobalt Strike 是 Raphael Mudge 在 2012 年创建的渗透测试工具。简称CS。 时至今日,它仍然在红队活动中非常流行,并被威胁参与者用于恶意目的。Cobalt Strike 因其广泛的部署选项、易用性、避免被安全产品检测的能力以及它拥有的功能数量而广受欢迎。正是出于这些原因,威胁行为者也喜欢 Cobalt Strike。由于 Cobalt Strike 被一系列黑客广泛使用,其缺乏排他性使得归因更加困难。由于 Cobalt Strike 拥有各种防御规避技术,公司仍然难以发现它。本文所说是指CS4.3版本。
生成的是一个hta文件。运行后启动powershell,执行一大坨base64编码的代码。
第一段解密之后的powershe