窥伺暗藏：Cobalt Strike隐秘攻击活动探析

文章预览

一、背景 Cobalt Strike是一款内网渗透测试框架，简称为CS，它集成了端口转发、服务扫描、多语言平台木马生成、宏病毒生成等功能，同时提供比较丰富的钓鱼攻击方式。 因其比较全面的攻击测试功能，在攻防、测试中扮演着重要角色，同时也因其功能强大、使用人数众多和安全对抗的高度自由配置拓展，常常被用于真实网络攻击中，因此它被安全厂商重点关注，在很多的公开情报中提供了多维度的检测特征和方案。常见的检测方式大多分为基于内存/静态特征和基于流量检测两种，但相应的Cobalt Strike也提供了针对各种特征的免杀对抗措施，使得Cobalt Strike的对抗战争愈演愈烈。 二、事件概述 近日，奇安信病毒响应中心在日常分析运营过程中发现一类较为隐秘的CS样本，它们以诱饵压缩包的形式使用社交软件和SEO引擎进行投递，利用文件系统属性进 ………………………………