Cobalto Strike Foglio di formaggio

Traduzione: Copia tutti i comandi Traduzione: Generare PDF < > ## Panoramica Cobalt Strike è una piattaforma di test di penetrazione commerciale e operazioni di squadra rossa progettata per emulare attori di minacce avanzate. Fornisce un framework post-exploitation che consente agli operatori di distribuire beacon (agenti) su sistemi compromessi, stabilire canali di comando e controllo (C2) e eseguire varie operazioni di sicurezza offensive. > ⚠️ **Warning**: Cobalt Strike è uno strumento di prova di sicurezza commerciale che dovrebbe essere utilizzato solo in ambienti in cui si ha il permesso esplicito di farlo. ## Componenti core ### Server Team - Server centrale di comando e controllo - Corre su Linux - gestisce beacon e ascoltatori - Fornisce collaborazione per le operazioni di team ### Cliente - Applicazione GUI basata su Java - Collegamento a Team Server - Interfaccia per gli operatori di interagire con i beacon - Visualizza le reti di destinazione ### Beacon - Carico di pagamento primario per post-esplosione - Stabilisce la comunicazione con Team Server - Fornisce varie capacità per operazioni offensive - Può operare in diverse modalità di comunicazione ## Impostazione e configurazione ### Impostazione server di squadra Traduzione: ### Impostazione client Traduzione: ## Ascolti ### Creazione di ascoltatori Traduzione: ### Tipi di ascoltatore |Type|Description| |------|-------------| |HTTP|Uses HTTP for C2 communication| |HTTPS|Uses HTTPS for C2 communication| |DNS|Uses DNS queries for stealthy C2| |SMB|Uses named pipes for peer-to-peer C2| |TCP|Uses direct TCP connections| |Foreign|Integrates with other C2 frameworks| ## Generazione di payload ### Tipi di carico di Beacon Traduzione: |Payload Type|Description| |--------------|-------------| |Windows Executable|Standard .exe file| |Windows Service EXE|Service executable| |DLL|Dynamic Link Library| |PowerShell|PowerShell one-liner| |Python|Python script| |Office Macro|Macro for Office documents| |Shellcode|Raw shellcode| ### Kit di produzione Traduzione: - Genera carichi personalizzati con tecniche di evasione - Modifica le firme per evitare il rilevamento - Modelli personalizzabili ## Comandi Beacon ### Gestione delle sessioni |Command|Description| |---------|-------------| |`help`|Display help information| |`sleep [seconds] [jitter%]`|Set sleep time and jitter| |`checkin`|Force immediate check-in| |`exit`|Terminate the beacon session| |`clear`|Clear the beacon's task queue| |`jobs`|List running jobs| |`jobkill [JID]`|Kill a running job| |`mode dns`|Switch to DNS mode| |`mode dns-txt`|Switch to DNS-TXT mode| |`mode dns6`|Switch to DNS6 mode| |`mode http`|Switch to HTTP mode| |`mode smb`|Switch to SMB mode| ### Raccolta di informazioni |Command|Description| |---------|-------------| |`hostname`|Get the hostname| |`ipconfig`|Display network configuration| |`netstat`|Display network connections| |`ps`|List running processes| |`tasklist`|Alternative to ps| |`getuid`|Get current user ID| |`whoami`|Get detailed user information| |`pwd`|Print working directory| |`drives`|List available drives| |`dir [directory]`|List files in directory| |`ls [directory]`|Alternative to dir| |`net [command]`|Execute net command| |`reg query [path]`|Query registry| |`sysinfo`|Get system information| ### Operazioni di file |Command|Description| |---------|-------------| |`cd [directory]`|Change directory| |`cp [source] [destination]`|Copy a file| |`mkdir [directory]`|Create a directory| |`mv [source] [destination]`|Move or rename a file| |`rm [file]`|Delete a file| |`rmdir [directory]`|Delete a directory| |`cat [file]`|Display file contents| |`download [file]`|Download a file from target| |`upload [file]`|Upload a file to target| |`timestomp [file] [template]`|Modify file timestamps| |`ls-acl [file]`|List file permissions| ### Operazioni di processo |Command|Description| |---------|-------------| |`execute [program]`|Execute without capturing output| |`shell [command]`|Execute and capture output| |`run [program]`|Execute a program| |`runas [user] [password] [program]`|Execute as another user| |`pth [user] [domain] [hash]`|Pass-the-hash to create a token| |`steal_token [pid]`|Steal token from process| |`make_token [domain] [user] [password]`|Create a token| |`rev2self`|Revert to original token| |`getprivs`|Enable system privileges| |`getsystem`|Attempt to get SYSTEM privileges| |`execute-assembly [file.exe]`|Execute .NET assembly in memory| |`powerpick [command]`|Execute PowerShell without powershell.exe| |`powershell [command]`|Execute PowerShell command| |`psinject [pid] [command]`|Execute PowerShell in specific process| |`shinject [pid] [arch] [file.bin]`|Inject shellcode into process| |`dllinject [pid] [file.dll]`|Inject DLL into process| |`dllload [file.dll]`|Load DLL in beacon process| ### Movimento laterale |Command|Description| |---------|-------------| |`psexec [target] [listener]`|Use PsExec to deploy beacon| |`psexec_psh [target] [listener]`|Use PsExec with PowerShell| |`winrm [target] [listener]`|Use WinRM to deploy beacon| |`wmi [target] [listener]`|Use WMI to deploy beacon| |`ssh [target:port] [user] [pass] [listener]`|Use SSH to deploy beacon| |`ssh-key [target:port] [user] [key] [listener]`|Use SSH with key authentication| |`dcsync [domain] [user]`|Use DCSync to extract password hashes| |`jump [method] [target] [listener]`|Jump to target using specified method| |`remote-exec [method] [target] [command]`|Execute command on remote system| ### Votazione |Command|Description| |---------|-------------| |`rportfwd [bind port] [forward host] [forward port]`|Set up reverse port forward| |`rportfwd stop [bind port]`|Stop reverse port forward| |`socks [port]`|Start SOCKS proxy server| |`socks stop`|Stop SOCKS proxy server| |`spunnel [host] [port]`|Create encrypted tunnel over SMB| |`spunnel stop`|Stop encrypted tunnel| |`covertvpn [interface] [IP/Mask]`|Deploy Covert VPN interface| |`covertvpn stop`|Stop Covert VPN| |`pivot [host] [port]`|List pivot listeners| |`pivotlistener [host] [port]`|Create pivot listener| ### Post-Exploitation |Command|Description| |---------|-------------| |`mimikatz [command]`|Execute Mimikatz command| |`hashdump`|Dump password hashes| |`logonpasswords`|Dump credentials from memory| |`keylogger [pid]`|Start keylogger| |`screenshot [pid]`|Take screenshot| |`screenwatch [pid]`|Watch target's screen| |`printscreen`|Take screenshot using PrintScreen| |`reg query [path]`|Query registry| |`powerview [command]`|Execute PowerView command| |`portscan [targets] [ports] [discovery method]`|Scan for open ports| |`browserpivot [pid] [port]`|Hijack authenticated web sessions| |`chromedump`|Dump Chrome cookies and login data| |`persist [method] [listener]`|Set up persistence| |`elevate [exploit] [listener]`|Attempt privilege escalation| ## Malleable C2 Profiles ### Struttura di base Traduzione: ### Profili di prova Traduzione: ## Aggressor Scripts ### Struttura di base Script Traduzione: ### Funzioni Script comuni |Function|Description| |----------|-------------| |`blog($1, "message")`|Write to beacon console| |`bshell($1, "command")`|Execute shell command| |`bpowershell($1, "command")`|Execute PowerShell command| |`bpowerpick($1, "command")`|Execute PowerShell without powershell.exe| |`bexecute_assembly($1, "/path/to/file.exe")`|Execute .NET assembly| |`bdllspawn($1, "/path/to/file.dll")`|Inject Reflective DLL| |`bpsexec($1, "target", "listener")`|Execute PsExec lateral movement| |`bwmi($1, "target", "listener")`|Execute WMI lateral movement| |`bwinrm($1, "target", "listener")`|Execute WinRM lateral movement| ## OPSEC Considerazioni ### Iniezione di processo Traduzione: ### Tecniche di evasione Traduzione: ## Flussi di lavoro comuni ### Accesso iniziale Traduzione: ### Escalation Privilege Traduzione: ### Arvestimento Credenziale # ### Movimento laterale Traduzione: ### Persistenza Traduzione: ## Risorse - [Documentazione ufficiale degli attacchi di cobalto](__LINK_5__ - [Cobalt Strike User Guide](__LINK_5__) - [Profili C2 rilevanti](__LINK_5__) - [Aggressor Script Documentation](__LINK_5__) - [Cobale Strike] MITRE ATT&CK Mapping](__LINK_5__