Home » Blog » Bảo mật tấn công: Core Impact & Cobalt Strike
Tin bảo mật, Tin khác, Tin tức

Bảo mật tấn công: Core Impact & Cobalt Strike

Core Impact và Cobalt Strike là hai công cụ mạnh mẽ giúp các tổ chức đánh giá tính bảo mật của môi trường của họ. Mặc dù chúng có chung mục tiêu là cung cấp thông tin chi tiết để giúp củng cố các nỗ lực bảo mật, nhưng chúng là những công cụ riêng biệt với các tính năng độc đáo.

May be an image of 1 person and text that says "rle.... martnet CONNECTING SUCCESS CONNECTINGSUCCESS E Offensive Security -Advanced Bundle Core Impact coreImpact&CobaltStrike & Cobalt Strike"

Core Impact là một công cụ kiểm tra xâm nhập , chủ yếu được sử dụng để khai thác và di chuyển ngang trong nhiều môi trường khác nhau. Mặt khác, Cobalt Strike là phần mềm mô phỏng mối đe dọa, chủ yếu được sử dụng để mô phỏng các tình huống khai thác sau đối đầu và hỗ trợ các hoạt động của Red Team .

Mặc dù các công cụ này có sự khác biệt rõ ràng, nhưng chúng vẫn là những công cụ được sử dụng để đánh giá an ninh mạng, do đó có thể hiểu được một số tính năng chính trùng lặp. Tuy nhiên, ngay cả những tính năng trùng lặp này cũng có những điểm khác biệt riêng trong từng công cụ. Tài liệu này cung cấp tổng quan về các chức năng chính của từng công cụ này, điểm tương đồng của chúng và cách chúng có thể được sử dụng cùng nhau để khuếch đại các nỗ lực kiểm tra bảo mật của bạn.

                                                                    CORE IMPACT

Khai thác nhiều vectơ:

Core Impact là một công cụ kiểm tra thâm nhập dễ sử dụng, khai thác các điểm yếu bảo mật liên quan đến mạng, con người, ứng dụng web, điểm cuối, Wi-Fi và môi trường SCADA. Công cụ này mở rộng khả năng và năng suất của người kiểm tra thâm nhập, đồng thời tự động hóa các tác vụ khai thác lặp đi lặp lại và tốn thời gian.

Các lỗ hổng được chứng nhận cốt lõi:

Các chuyên gia bảo mật cốt lõi cẩn thận phát triển và kiểm tra kỹ lưỡng các khai thác, thường xuyên cập nhật và thêm các khai thác mới vào Core Impact cho các nền tảng, hệ điều hành và ứng dụng khác nhau. Để tạo ra thư viện khai thác toàn diện và đáng tin cậy nhất trên thị trường, chúng tôi hợp tác với các nhà cung cấp an ninh mạng bên thứ ba để cung cấp các gói khai thác chuyên biệt cho nhiều môi trường khác nhau. Người dùng cũng có thể nhập các khai thác của riêng họ.

Mã hóa mạnh mẽ:

Core Impact sử dụng mật mã mạnh mẽ để mã hóa hoàn toàn các khóa được dùng để bảo vệ lệnh và điều khiển liên lạc giữa các tác nhân và/hoặc không gian làm việc.

Các tác nhân tự hủy có hình mờ:

Mỗi bản dựng Core Impact đều độc đáo và bao gồm một hình mờ để hỗ trợ nhận dạng từng bản phân phối và tất cả các tác nhân được triển khai từ bản phân phối đó. Hình mờ này cung cấp xác nhận pháp y rằng đây là các tác nhân thử nghiệm hợp pháp chứ không phải từ nguồn độc hại. Ngoài ra, tất cả các tác nhân được triển khai từ Core Impact đều được thiết lập để tự chấm dứt, đảm bảo không có cửa hậu tiềm ẩn nào bị bỏ lại.

Xác thực khắc phục:

Core Impact lưu trữ các phiên kiểm tra trước đó, có thể chạy lại nhanh chóng và dễ dàng để xác thực các nỗ lực khắc phục, chẳng hạn như các biện pháp kiểm soát bù trừ mới, có hiệu quả hay không.

Tích hợp:

Người dùng Core Impact có thể nhập dữ liệu máy quét của bên thứ ba và tự động xác thực các lỗ hổng được xác định trong các lần quét đó để cung cấp danh sách ưu tiên các mục tiêu tiềm năng để kiểm tra. Tích hợp với các công cụ kiểm tra bút khác như Metasploit, PowerShell Empire và Pextrac tập trung hơn nữa các môi trường kiểm tra.

                                                               COBALT STRIKE

Do thám các cuộc tấn công từ phía máy khách:

Trình tạo hồ sơ hệ thống của Cobalt Strike sẽ lập bản đồ giao diện phía máy khách mà mục tiêu của bạn sử dụng, thu thập danh sách các ứng dụng và plugin mà mục tiêu phát hiện thông qua trình duyệt của người dùng, cũng như địa chỉ IP nội bộ của người dùng đang ở phía sau máy chủ proxy.

Hậu khai thác:

Beacon là payload sau khai thác của Cobalt Strike để mô hình hóa một tác nhân nâng cao. Beacon thực thi các tập lệnh PowerShell, ghi lại các lần nhấn phím, chụp ảnh màn hình, tải xuống tệp và tạo ra các payload khác.

Giao tiếp bí mật:

Các chỉ báo mạng của Beacon có thể thay đổi được, sử dụng mẫu giao tiếp “thấp và chậm” không đồng bộ. Tải một hồ sơ C2 để trông giống như một tác nhân khác. Sử dụng HTTP, HTTPS và DNS để thoát khỏi mạng và chống chặn. Sử dụng các đường ống được đặt tên để kiểm soát Beacon, ngang hàng, qua giao thức SMB.

Gói tấn công:

Sử dụng Cobalt Strike để lưu trữ một cuộc tấn công web drive-by bằng các applet java hoặc bản sao trang web. Biến một tệp tin vô hại thành một con ngựa thành Troy bằng cách sử dụng Microsoft Office Macro hoặc Windows Executables.

Xoay trình duyệt:

Sử dụng trình duyệt xoay vòng để vượt qua xác thực hai yếu tố và truy cập các trang web làm mục tiêu của bạn. Cuộc tấn công man-in-the-browser này sẽ chiếm đoạt các phiên web đã xác thực của người dùng bị xâm phạm bằng máy chủ proxy được đưa vào Internet Explorer 32 bit và 64 bit. Sử dụng máy chủ proxy để kế thừa cookie, phiên HTTP đã xác thực và chứng chỉ SSL của máy khách.

                                              BỘ ĐÔI CORE IMPACT & COBALT STRIKE

Hợp tác thời gian thực:

Với Core Impact, nhiều người kiểm tra bảo mật có khả năng tương tác trong cùng một phiên, giúp các nhóm có thể chia sẻ dữ liệu và phân công nhiệm vụ kiểm tra một cách an toàn. Các không gian làm việc chung này cung cấp chế độ xem chung về các mục tiêu mạng bị phát hiện và xâm phạm để có sự cộng tác tối ưu.

Người dùng Cobalt Strike có thể kết nối với máy chủ của nhóm để chia sẻ dữ liệu, giao tiếp theo thời gian thực và kiểm soát các hệ thống bị xâm phạm trong quá trình giao tranh.

Mô phỏng phần mềm tống tiền và lừa đảo:

Khả năng kỹ thuật xã hội của Core Impact có thể được sử dụng với trình mô phỏng ransomware để đánh giá nhận thức về bảo mật, xác định ai dễ bị tấn công như vậy. Sử dụng chiến dịch lừa đảo để triển khai, hành vi của nhiều họ ransomware có thể được bắt chước để thu thập thông tin xác thực, mã hóa dữ liệu và trích xuất tệp.

Cobalt Strike cho phép bạn nhập email hiện có hoặc tự viết để tạo mẫu lừa đảo có mục tiêu. Sau đó, nó sẽ xóa tệp đính kèm, xử lý các vấn đề mã hóa và viết lại từng mẫu cho mỗi cuộc tấn công lừa đảo. Sau đó, Cobalt Strike sẽ gửi email và theo dõi những người nhấp vào.

Báo cáo toàn diện:

Core Impact theo dõi và ghi lại tất cả các hành động được thực hiện trong phiên kiểm tra, bao gồm các hành động được thực hiện trên máy chủ từ xa. Sau đó, người dùng có thể tận dụng các mẫu báo cáo đơn giản và trực quan để tự động điền dữ liệu có liên quan từ nhật ký.

Cobalt Strike ghi lại mọi hoạt động của mình trên máy chủ nhóm. Sau đó, có thể tạo báo cáo để cung cấp mốc thời gian và danh sách các chỉ số xâm phạm được xác định từ hoạt động của Red team

Khả năng tương tác

Những người sử dụng cả hai công cụ có thể tận dụng khả năng truyền phiên và tạo đường hầm giữa Core Impact và Cobalt Strike. Khả năng tương tác này có thể hợp lý hóa các nỗ lực kiểm tra thâm nhập hơn nữa. Ví dụ, người dùng có thể bắt đầu tương tác của họ, nhận quyền truy cập ban đầu từ Core Impact. Từ đó, họ có thể tiếp tục các hoạt động sau khai thác bằng cách tạo ra một Cobalt Strike Beacon. Ngoài ra, các công cụ này có thể chia sẻ tài nguyên , chẳng hạn như các công cụ lắp ráp .NET và các mô-đun khác. Trên thực tế, bất kỳ lệnh thực thi nào sử dụng lệnh execute-assembly trong Cobalt Strike đều có thể được sử dụng làm tài nguyên được chia sẻ khi sử dụng cả hai sản phẩm cho một tương tác thử nghiệm.

Để biết thêm thông tin chi tiết, vui lòng liên hệ với chúng tôi qua địa chỉ email contact@smartnet.net.vn