Ovaj seminar se bavi analizom alata za izvođenje penetracijskih testova i crvenih timova Cobalt Strikea. U uvodu će biti objašnjeno što je Cobalt Strike i kako ga penetracijski testeri, ali i maliciozni akteri koriste. Zatim će biti objašnjene tehnike za detekciju i razmotit će se neki izazovi u detekciji.

Cobalt Strike[1] je jedan od danas najkorištenijih alata za C2 komunikaciju u svijetu penetracijskog testiranja, ali i kriminalnih kampanja[2]. Sam alat nudi mogućnost generiranja i kontroliranja takozvanih beacona koji se mogu instalirati na žrtvino računalo. Kada je beacon instaliran na računalo, ako nije uhvaćen od strane EDR-a ili antivirusa, počinje komunicirati sa Cobalt Strike teamserverom i tada operateri mogu krenuti slati komande beaconu. Komande mogu biti primjerice izvršavanje sistemskih naredbi, snimanje zaslona, snimanje tipkovnice i izvršavanje drugih alata. Cobalt Strike direktno nudi brojne načine kako beacon može biti dostavljen (powershell, DLL, izvršna datoteka, MS Office macro i sl.), ali vješti operateri mogu ugraditi beacon u proizvoljan način dostavljanja. Također, beacon je pomoću njegove MalleableC2 opcije moguće prilagoditi na brojne načine što otežava proces detekcije. Neki od mogućih načina izmjene su promjena izgleda mrežnog prometa, promjena memorijskih indikatora (npr. korištenje RWX memorije) i promjene kako beacon učitava DLL-ove.

[1] Cobalt Strike korisničke upute

[2] https://cyberscoop.com/microsoft-cobalt-strike-hacking-tool/