Как установить и использовать Cobalt Strike на Kali Linux

Cobalt Strike представляет собой фреймворк для проведения тестов на проникновение, позволяющий доставить на компьютер жертвы полезную нагрузку и управлять ею. Злоумышленники могут использовать Cobalt Strike для развертывания атак с расширенными постоянными угрозами (APT) против вашей организации.

Подготовка

Я буду использовать 2 виртуальные машины, Kali Linux (атакующий) и Windows 11 (пользователь) на VMware 17 для моделирования.

Для Cobalt Strike потребуется Java в системе, поэтому вам необходимо установить Java в Kali Linux с помощью следующей команды:

sudo apt install default-jdk

Введите следующую команду, чтобы подтвердить, успешно ли установлена ​​Java:

java --version

Если терминал показывает версию java, значит java успешно установлен.

Затем вы получите IP-адрес компьютера с Kali Linux с помощью следующей команды:

ip а

Отсюда нам нужен ip-адрес расположенный в eth0. Скопируем его, дальше он будет нужен.

Запуск и управление машиной пользователя через COBALT STRIKE

Шаг 1: Скачать Cobalt-strike. (пароль security)

Шаг 2: Извлеките файл COBALT STRIKE, там будет 2 элемента: сервер и клиент.

Шаг 3: Нужно перейти в каталог сервера, а затем выполнить 2 команды ниже. Цель этих двух команд — предоставить разрешение на выполнение для двух файлов, которые мы будем использовать.

sudo chmod +x ./teamserver

sudo chmod +x ./TeamServerImage

Шаг 4: Затем выполните команду ниже. IP-адрес который мы взяли в eth0, нужно будет встать его в команду ниже, зачем использовать пароль который вы используете для входа в Linux.

sudo ./teamserver <IP> <Пароль>

Шаг 5: Сейчас нужно открыть второй терминал либо нажать (ctrl+shift и T ), Дальше перейти в папку «Client». Затем выполните следующие 2 команды:

sudo chmod +x ./cobalstrike-client.cmd

./cobalstrike-client.cmd

Шаг 6: После запуска этой команды Cobalt strike откроет интерфейс подключения. Здесь нужно заполнить следующие поля:

• Псевдоним: @.
• Хосты: IP машины.
• Порты: оставьте значение по умолчанию 50050.
• Пользователь: Кали.
• Пароль: пароль нужно использовать тот, который мы вводили при использовании для запуска TeamServer в терминале 1. (говоря проще пароль будет такой же который как и при входе в систему).

Наконец, нажмите «Connect» .

Шаг 7: Нажмите «Yes» .

Шаг 8: Выберите «Cobalt Strike» -> «Listeners» .

Шаг 9: В окне Listerner нажмите «Add» внизу экрана.

Шаг 10: Name назваем -  c2 .
Payload - выбираем «Beacon HTTP». 
В разделе «Хосты HTTP» нажмите «+»  и выбираем наш ip-адрес. 
Теперь нажимаем «Save» .

Шаг 11: Выберите «Attacks» -> «Scripted Web Delivery (S)» 

Шаг 12: В разделе Listener нажмите кнопку . кнопка «…» . Выберите прослушиватель, который вы только что создали, и нажмите «Choose».

Шаг 13: В типе выберите «powershell» , затем нажмите «Launch» .

Шаг 14: Cobalt Strike выдаст вам команду для выполнения на машине-жертве. Пожалуйста, скопируйте эту команду.

Шаг 15: Откройте PowerShell на компьютере-жертве и выполните команду, выданную Cobalt Strike. Не спрашивайте меня, как открыть Powershell на машине-жертве, а затем запустить команду. В зависимости от ваших навыков, будет много разных способов. Я предложу 2 способа: использовать социальную инженерию или встроить команду в другой файл.

Шаг 16. Вернувшись в с Kali Linux, вы увидите, что компьютер пользователя добавлен в Cobalt Strike.

Шаг 17: Щелкните правой кнопкой мыши компьютер пользователя и выберите «Interact» .

Шаг 18: Введите любую команду. Введенная вами команда будет выполнена на машине пользователя. После ввода команды нажмите Enter. Я введу команду shell ipconfig /all.

Результат отработанной команды:

Все действия были выполнены в локальной сети, если вы хотите сделать через интернет, то вам нужен порт NAT 50050.

Конец

⚡️ Канал - ссылка

📺 YouTube - ссылка