关于分段payload优势与劣势的问题,本文不予讨论,这就像是选择鸡还是鸡蛋一样,Cobalt Strike的作者最终选择了鸡蛋,所以…在Cobalt Strike 3.5.1后的版本可以通过在Malleable C2中添加host_stage选项,以限制分段payload。
在Cobalt Strike 4中应该尽可能多的使用unstage,一方面以保证安全性(因为你无法确保stager下载的stage是否受到中间人攻击,除非像MSF一样使用SSL保证安全性)。另一方面如果我们通过层层的代理,在内网进行漫游,这个时候使用分段的payload如果网络传输出现问题,stage没有加载过去,可能就会错失一个Beacon,unstage的payload会让人放心不少。
更多关于stage的参考资料:
https://cloud.tencent.com/developer/news/335831
https://blog.cobaltstrike.com/2016/06/22/talk-to-your-children-about-payload-staging/
https://blog.cobaltstrike.com/2016/06/15/what-is-a-stageless-payload-artifact/
写得非常好的文章
https://cloud.tencent.com/developer/article/1595094?from=article.detail.1771248