鬼故事 - CS 高手

Credit: Vince mcmahon
灵感来源: UCCU Hacker

故事开始

常言道：「不会 CS 别说你懂资安」(纯属瞎掰)

今天我们要讲的是一小段荒谬的对话
监识工程师：「我们在贵单位的 OOO 电脑里面发现在 svchost 有 Cobalt Strike 的 Beacon 」
监识工程师：「之後我们又随着 C2 去查询贵单位的连线纪录，发现有以下端点...」
(经过一连串冗长的调查分析报告)
客户高级主管：「所以是因为我们有同仁下载了 CS 导致骇客入侵吗? 那那个培根(Beacon) 又是甚麽」
客户高级主管：「那我们需要加强公司同仁的软件使用，不要在公司下载游戏和不明软件」
监识工程师(脑袋暂时当机)

资安延伸

Cobalt Strike 为国外知名商业渗透测试工具，
你可以把它想像成超级好用的 metasploit+armitiage ，
其本身是 java 写的，但因为似乎太好破解了，
网路上很容易出现快乐版/破解版， 对於破解者唯一的问题就是要先获得完整的服务器安装包。

Cobalt Strike 购买难度十分的高，如果你是从事合法的渗透测试产业，
你必须通过原厂的公司身家调查、提供使用者资讯、良民证...，
但尽管这样还是无法抵挡外流安装包，与骇客组织/网军透过假公司购买这些後外流，

为什麽大家都爱用 Cobalt Strike? 让我们采访一下资深渗透测试人员、调查人员的想法

• GUI，够懒人！
• Easy to Deploy ，好在别台做跳板
• Beacon 很容易融合到自己的後门
• 快乐版(破解版)容易取得
• 用别人的减少被发现是哪个攻击族群的风险
• Linux/Mac/Windows 通用
• 可以自订 Module ，减少内部人员的学习成本