来源：https://www.darkreading.com/threat-intelligence/how-to-identify-cobalt-strike-on-your-network/a/d-id/1339357

常见的防病毒系统经常错过Cobalt Strike，这是一个被红队和攻击者所赞赏的隐形威胁仿真工具包。

自从推出以来，Cobalt Strike已经成为信息安全红色团队使用的最流行的威胁仿真软件包之一。不幸的是，它的多重开发技术的组合也使Cobalt Strike成为攻击者的平台选择。

在过去的几个月里，我们看到Cobalt Strike被多次利用。在WastedLocker 勒索软件攻击中，一个高级持续威胁(APT)组织使用Cobalt Strike在一个网络中横向移动。APT组织还在以军事为主题的恶意软件活动中使用Cobalt Strike，以南亚的军方和政府组织为目标。

关注安全数据的普通反病毒(AV)系统常常错过Cobalt Strike。该平台使用多种技术来逃避检测。此外，Cobalt Strike还可以与其他攻击工具(如Mimikatz、Metasploit和PowerShell Empire)合并，在整个网络中横向移动。

但对安全专业人士来说，有一个好消息:Cobalt Strike有非常明显的网络标记。你可以使用这些市场来检测你网络上的Cobalt Strike。

一、探测Cobalt Strike有什么难的?

Cobalt Strike采用了两种主要技术来避免被主流AV系统检测。它1)模糊了shellcode, 2)利用了一种特定于领域的语言，称为可塑命令和控制(Malleable可塑C2)。让我们逐一看看。

技巧# 1

今天的反病毒系统通常采用沙箱来检测可执行文件。沙箱提供了一个单独的环境来运行和检查可疑的可执行文件。但是Cobalt Strike在命名管道上隐藏了shellcode。如果沙箱不模拟命名管道，它将无法找到恶意的shellcode。另外，攻击者可以使用co -balt- strik神器工具包修改和构建他自己的技术。

技巧# 2

在后开发阶段，Cobalt Strike模仿了Gmail、Bing和Pandora等流行服务，以逃避检测。该平台使用了Malleable可塑C2，这为攻击者提供了根据自己的意愿修改Cobalt Strike命令控制(C2)流量的能力。然后攻击者可以识别目标组织中的合法应用程序，比如Amazon流量，并使用任意数量的公开可用配置文件修改C2流量，使其显示为Amazon流量，就像这个GitHub上的Amazon流量（https://github.com/rsmudge/Malleable-C2-Profiles/blob/master/normal/amazon.profile）。

在下面的屏幕截图(图1)中，你可以看到Cobalt Strike配置文件，它伪造了CNN视频URI, HTTP头像“Host，”“Referer，”和“X-requested-With”，这样HTTP请求看起来就像对CNN视频的请求。

二、检测Cobalt Strike网络指标

要识别Cobalt Strike，请检查网络流量。由于Cobalt Strike默认配置文件通过伪造HTTPS流量规避安全解决方案，您需要使用TLS检查。然后隔离bot通信流，完成后，通过检查HTTPS请求中的数据来识别可疑的通信流。

三、检查网络通信

为了区分人工生成的流量和机器人生成的流量，我们检查了与目标的通信频率。机器人产生的流量趋于一致和均匀，如下图所示。人工产生的流量随着时间的推移而变化，而机器产生的流量几乎是均匀分布的。

不过，仅仅因为流量是由机器人产生的，并不意味着它是恶意的。有很多好的机器人，比如操作系统更新程序。您需要识别可能是可疑的机器人，您可以通过挖掘流量来做到这一点

四、检查用户代理User Agent

查看bot通信流的来源，我们检查生成TLS通信流的用户代理。起初，用户代理看起来是合法的，据说是由Mozilla/5.0 (Windows NT 6.1)生成的，这是Internet Explorer (IE)的值。

然而，用户代理很容易被伪造。一些机器学习算法推导出数据包流的真正用户代理，在这种情况下，标记为“未识别”。这种差异为我们提供了一个强有力的指标，表明我们可能正在查看恶意流量。

五、检查目的地

接下来，我们将检查目标域——dukeid[.]com。对许多人来说，这一点将不是决定性的。根据VirusTotal，我们可以看到83个AV引擎中只有不到10%(确切地说是7个)将这个域标记为恶意的。然而，供应商声誉模型已经将dukeid.com归类为恶意的，这给了我们另一个可能表明入侵的破坏指示器(IoC)或网络工件。

六、检查主机报头Host Header

我们继续深入该包并检查HTTP主机报头Host Header，在本例中为www.amazon.com。然而，流量被定向到域名“dukeid[.]com”。这给了我们另一个强有力的证据，我们正在看Cobalt Strike伪造主机标题是亚马逊档案的一部分。

七、检查URI

最后，我们检查流的目标统一资源标识符(URI)。我们看到URI与Cobalt Strike malable C2相匹配:

/s/ref=nb_sb_noss_1/167-3294888-0262949/field-keywords=books

单独阻塞URI是不起作用的。这是一个假冒的Amazon URI，屏蔽它也会屏蔽对合法Amazon URI的流量。因此，需要继续执行上述步骤。

Cobalt Strike中的Malleable可塑C2模块是一种先进的工具，允许攻击者定制信标通信量并创建隐蔽通信。AV系统可能不足以保护网络。即使在威胁被识别和客户通知后，他们的AV系统仍然无法检测和消除威胁。不过，通过关注恶意软件的网络特征，可以识别出威胁。这是一个很好的例子，说明如何结合网络和安全信息来更好地检测威胁。