名词 翻译 注释
Artifact Kit
Artifact 工件
集
Data Channel 数据通道
Data Model 数据模型
External C2 外置 C2
Foreign
Listener(s)
对外监听器
Keystroke
Logger
键盘记录器
Malleable C2
Profile
C2 拓展文件
Named Pipe(s) 命名管道
Network
Indicators
网络流量指标
Payload Staging 分阶段投递 Payload
Peer-to-peer
Communication
对等通信
Peer-to-peer C2 对等 C2
Pipe 管道
Pivot Graph Pivot 图
Port Bending
Redirector
端口弯曲重定
向器
例如,接受来自 80 或 443 端口的连接但将连接路由到团
队服务器开在另一个端口上的连接,这样的重定向器。
Post-
Exploitation
后渗透
PowerShell
one-liner
PowerShell
单行程序
Session 会话
Sessions Table 会话表
Strategic Cyber
LLC
Strategic
Cyber 责任有
限公司
Cobalt Strike 是 Strategic Cyber 责任有限公司的产品
英文名词翻译对照表
图1. 攻击问题集
第一章 欢迎来到 Cobalt Strike 的世界!
1.1 什么是 Cobalt Strike?
Cobalt Strike 是一个为对手模拟和红队行动而设计的平台,主要用于执行有目标的攻击和模拟高级威胁
者的后渗透行动。本章中会概述 Cobalt Strike 的功能集和相关的攻击流程。在本手册的剩余部分中会
详细的讨论这些功能。
译者注:图中的 Intrumentation & Telemetry 大概可以翻译为「终端行为采集 Agent & 云端
行为分析引擎」。 Instrumentation 指的应该是安装在目标主机上的各类日志收集与监控类工
具, Telemetry 指的应该是将这些监控类工具所产出的各位监测日志进行归一化、汇聚到一个统
一分析引擎并等待引擎的研判结果这类的过程。
一场深思熟虑的对目标的攻击始于侦查。Cobalt Strike 的 System Profiler 是一个 web 应用,该应
用用于客户端的攻击面。从侦查流程中收集的信息会帮助你分析以及做出最好的选择。
武器化是将一个后渗透 payload 与一个文档或在目标上执行此 payload 的漏洞利用相结合。Cobalt
Strike 提供将普通的文档转为武器化 Artifacts 的选项。Cobalt Strike 还提供以多种形式导出后渗透
payload、Beacon 的选项,可以结合此工件集以外的 artifacts 使用。
使用 Cobalt Strike 的网络钓鱼工具投递武器化文档到目标网络中的一个或多个人。Cobalt Strike 的网
络钓鱼工具将保存的电子邮件重新用于像素级完美的钓鱼。
使用 Cobalt Strike 的 Beacon 来控制你的目标网络。这个后渗透 payload 使用一种异步的「低频次且
慢速」的通信模式,高级威胁中的恶意软件常使用这种模式。 Beacon 会通过 DNS、HTTP 或 HTTPS
等方式回连(团队服务器)。Beacon 还可以经过常见的代理配置回连至多个主机来避免阻塞。
想要检验目标的攻击溯源分析能力,可以使用 Beacon 的 C2 扩展语言功能。此功能中,通过对
Beacon 重新编程、让流量看上去像一些知名的恶意软件或者融入正常流量。
评论5