APT级全面免杀与企业纵深防御体系的红蓝对抗

一、Cobalt Strike 快速入门

Cobalt Strike: C/S架构的商业渗透软件，适合多人进行团队协作，可模拟APT做模拟对抗，进行内网渗透。

Cobalt Strike整体功能了解参考MITRE ATT&CK™

Cobalt Strike的C/S架构

• 客户端(Client GUI)
  • 团队成员使用的图形化界面
• 服务器(Team Server)
  • 控制 - Team Server是Cobalt Strike中所有payload的主控制器，与victim的所有连接bind/reverse都由Team Server管理。
  • 日志记录 - Cobalt Strike中发生的所有事件 保存在logs文件夹
  • 信息搜集 - 收集在后渗透阶段发现的、或攻击者在目标系统上用于登录的所有凭据credentials
  • 自定义脚本 - cat teamserver可看到该文件是一个简单的bash脚本(可根据自己要求修改) 调用Metasploit RPC服务msfrpcd并启动服务器cobaltstrike.jar

基本步骤：