Nếu các bạn đi theo con đường Red Team thì chắc cũng đã vài lần nghe qua Cobalt Strike rồi nhỉ? Cobalt Strike là phần mềm dành cho việc khai thác và triển khai Beacon trên máy nạn nhân. Hiểu nôm na Beacon giống như một con sâu vậy, nó nằm im lặng trong máy nạn nhân, kết nối trực tiếp với internet, được hacker điều khiển để thực thi các lệnh hoặc payload/script độc hại và truy cập từ xa vào hệ thống của nạn nhân. Trong bài viết này, mình sẽ hướng dẫn các bạn mô phỏng cách điều khiển máy của nạn nhân bằng Cobalt Strike nhé.
Lưu ý: Mục đích của bài viết nhằm phục vụ quá trình học tập và tìm hiểu cách hacker làm việc. Từ đó phòng tránh được những trường hợp liên quan. Các bạn sẽ phải tự chịu trách nhiệm với những hành vi trái phép của mình. Và còn 1 điều nữa là do đây chỉ là bài demo nên mình sẽ làm nó thuận lợi nhất có thể bằng cách bỏ qua một số quá trình khác.
Chuẩn bị
Mình sẽ sử dụng 2 máy ảo là Kali Linux (attacker) và Windows 11 (victim) trên Vmware 17 để thực hiện mô phỏng.
Cobalt Strike sẽ yêu cầu Java trên hệ thống nên các bạn cần cài Java trên Kali Linux bằng lệnh sau:
sudo apt install default-jdk
Nhập tiếp lệnh dưới để xác nhận java đã cài đặt thành công hay chưa:
java --version
Nếu terminal hiện version của java thì các bạn đã cài đặt java thành công rồi nhé.
Tiếp theo, các bạn lấy địa chỉ IP của máy Kali Linux bằng lệnh sau:
ip a
Địa chỉ của máy bạn sẽ có dạng 192.168.xxx.xxx. Các bạn copy địa chỉ này để các bước sau sử dụng nhé.
Cách điều khiển máy nạn nhân bằng COBALT STRIKE
Bước 1: Trên máy Linux (Kali hoặc Ubuntu), các bạn tải Cobalt Strike (link ai cần thì pm riêng)
Bước 2: Giải nén file COBALT STRIKE của bạn, thông thường sẽ có 2 mục là Server và Client
Bước 3: Các bạn vào thư mục Server rồi chạy 2 lệnh dưới. Mục đích của 2 lệnh này là cấp quyền thực thi cho 2 file chúng ta sắp sử dụng.
sudo chmod +x ./teamserver sudo chmod +x ./TeamServerImage
Bước 4: Tiếp theo các bạn chạy lệnh dưới. IP là địa chỉ IP của con Server Linux bạn đang thực hiện bạn copy trong bước chuẩn bị, còn pass thì các bạn muốn đặt sao cũng được.
sudo ./teamserver <IP> <Pass>
Bước 5: Truy cập vào thư mục Client và mở Terminal thứ 2, lưu ý không đóng terminal chạy teamserver nhé. Sau đó chạy 2 lệnh dưới:
sudo chmod +x ./cobalstrike-client.cmd ./cobalstrike-client.cmd
Bước 6: Sau khi chạy lệnh này xong thì cobalt strike sẽ mở giao diện connect. Tại đây các bạn cần điền những trường sau:
- Alias: <User của Kali>@<IP>.
- Host: Ip của máy.
- Port: Để mặc định là 50050.
- User: User của Kali.
- Password: Điền password hồi nãy bạn chạy teamserver trong terminal 1.
Cuối cùng nhấn “Connect”.
Bước 7: Nhấn “Yes”.
Bước 8: Chọn “Cobalt Strike” -> “Listeners”.
Bước 9: Trong cửa sổ Listerner, nhấn “Add” ở dưới cùng màn hình.
Bước 10: Mình đặt tên cho Listener này là c2. Payload thì các bạn chọn “Beacon HTTP”. Trong phần “HTTP Hosts”, nhấn dấu “+”. Cuối cùng nhấn “Save”.
Bước 11: Chọn “Attacks” -> “Scripted Web Delivery”.
Bước 12: Trong phần Listener, nhấn nút “…”. Chọn Listener bạn vừa tạo và nhấn “Choose”.
Bước 13: Trong type, chọn “powershell”, rồi nhấn “Launch”.
Bước 14: Cobalt Strike sẽ cấp cho bạn 1 câu lệnh dùng để thực thi trên máy nạn nhân. Các bạn copy câu lệnh này lại nhé.
Bước 15: Mở PowerShell trên máy nạn nhân và chạy câu lệnh do Cobalt Strike cấp. Đừng hỏi mình cách để mở Powershell trên máy nạn nhân rồi chạy lệnh nhé. Tuỳ thuộc vào kỹ năng của bạn mà sẽ có nhiều cách khác nhau. Mình sẽ gợi ý 2 cách là dùng social engineering hoặc nhúng lệnh vào file khác.
Bước 16: Quay lại máy Kali Linux, các bạn sẽ thấy máy của nạn nhân đã được thêm vào Cobalt Strike.
Bước 17: Chuột phải vào máy nạn nhân và chọn “Interact”.
Bước 18: Nhập một lệnh bất kì. Lệnh mà bạn nhập sẽ được thực thi trên máy của nạn nhân. Nhớ thêm shell vào trước lệnh nhé. Mình sẽ nhập lệnh shell ipconfig /all.
Và đây là kết quả. Các bạn đã thành công rồi đó.
Bài viết này chỉ demo trong môi trường mạng LAN, nếu bạn thực hiện trong môi trường Internet thì cần NAT port 50050 nhé.
Câu hỏi thường gặp
Cobalt Strike là gì và nó hoạt động như thế nào?
Cobalt Strike là một phần mềm dùng để khai thác và triển khai Beacon trên máy nạn nhân. Beacon hoạt động như một con sâu, cho phép hacker điều khiển từ xa máy nạn nhân và thực thi các lệnh hoặc mã độc hại.
Tôi cần cài đặt phần mềm gì để sử dụng Cobalt Strike?
Bạn cần cài đặt Java trên hệ thống của mình (ví dụ: sử dụng lệnh sudo apt install default-jdk trên Kali Linux) trước khi sử dụng Cobalt Strike.
Làm thế nào để kết nối Cobalt Strike với máy nạn nhân?
Sau khi thiết lập server Cobalt Strike, bạn sẽ nhận được một lệnh từ Cobalt Strike. Chạy lệnh này trên máy nạn nhân (bằng cách như nhúng vào file hoặc Social Engineering) để thiết lập kết nối.
Mình muốn xin link tải thì pm ở đâu ạ?
Cho mình xin phần mềm Cobalt Strike. Mình cám ơn nhiều
Cho mình xin link Cobalt Strike vào mail: [email protected] này với ad nhé. Thanks
Cho mình xin link tải bạn nhé
cho mình xin link tải với ạ
Mình có bản 4.7 nha, bạn nào cần thì liên hệ qua Telegram @mrnobody1945
Cho mình xin với
Em muốn xin link tải Cobalt Strike ạ.
Cho mình xin link tải cobalt strike ạ
Hello anh. Em đang tìm kiếm link của COBALT STRIKE thì bây giờ em liên hệ qua đây được để có thể lấy link ạ.
Nếu tiện anh có thể cho em xin link qua gmail : [email protected]
Em cảm ơn.