Cách cài đặt và sử dụng Cobalt Strike dành cho Red Team

Nếu các bạn đi theo con đường Red Team thì chắc cũng đã vài lần nghe qua Cobalt Strike rồi nhỉ? Cobalt Strike là phần mềm dành cho việc khai thác và triển khai Beacon trên máy nạn nhân. Hiểu nôm na Beacon giống như một con sâu vậy, nó nằm im lặng trong máy nạn nhân, kết nối trực tiếp với internet, được hacker điều khiển để thực thi các lệnh hoặc payload/script độc hại và truy cập từ xa vào hệ thống của nạn nhân. Trong bài viết này, mình sẽ hướng dẫn các bạn mô phỏng cách điều khiển máy của nạn nhân bằng Cobalt Strike nhé.

Lưu ý: Mục đích của bài viết nhằm phục vụ quá trình học tập và tìm hiểu cách hacker làm việc. Từ đó phòng tránh được những trường hợp liên quan. Các bạn sẽ phải tự chịu trách nhiệm với những hành vi trái phép của mình. Và còn 1 điều nữa là do đây chỉ là bài demo nên mình sẽ làm nó thuận lợi nhất có thể bằng cách bỏ qua một số quá trình khác.

Chuẩn bị

Mình sẽ sử dụng 2 máy ảo là Kali Linux (attacker) và Windows 11 (victim) trên Vmware 17 để thực hiện mô phỏng.

Cobalt Strike sẽ yêu cầu Java trên hệ thống nên các bạn cần cài Java trên Kali Linux bằng lệnh sau:

sudo apt install default-jdk

Nhập tiếp lệnh dưới để xác nhận java đã cài đặt thành công hay chưa:

java --version

Nếu terminal hiện version của java thì các bạn đã cài đặt java thành công rồi nhé.

Tiếp theo, các bạn lấy địa chỉ IP của máy Kali Linux bằng lệnh sau:

ip a

Địa chỉ của máy bạn sẽ có dạng 192.168.xxx.xxx. Các bạn copy địa chỉ này để các bước sau sử dụng nhé.

Cách điều khiển máy nạn nhân bằng COBALT STRIKE

Bước 1: Trên máy Linux (Kali hoặc Ubuntu), các bạn tải Cobalt Strike (link ai cần thì pm riêng)

Bước 2: Giải nén file COBALT STRIKE của bạn, thông thường sẽ có 2 mục là Server và Client

Bước 3: Các bạn vào thư mục Server rồi chạy 2 lệnh dưới. Mục đích của 2 lệnh này là cấp quyền thực thi cho 2 file chúng ta sắp sử dụng.

sudo chmod +x ./teamserver
sudo chmod +x ./TeamServerImage

Bước 4: Tiếp theo các bạn chạy lệnh dưới. IP là địa chỉ IP của con Server Linux bạn đang thực hiện bạn copy trong bước chuẩn bị, còn pass thì các bạn muốn đặt sao cũng được.

sudo ./teamserver <IP> <Pass>

 

Bước 5: Truy cập vào thư mục Client và mở Terminal thứ 2, lưu ý không đóng terminal chạy teamserver nhé. Sau đó chạy 2 lệnh dưới:

sudo chmod +x ./cobalstrike-client.cmd
./cobalstrike-client.cmd

 

Bước 6: Sau khi chạy lệnh này xong thì cobalt strike sẽ mở giao diện connect. Tại đây các bạn cần điền những trường sau:

• Alias: <User của Kali>@<IP>.
• Host: Ip của máy.
• Port: Để mặc định là 50050.
• User: User của Kali.
• Password: Điền password hồi nãy bạn chạy teamserver trong terminal 1.

Cuối cùng nhấn “Connect”.

Bước 7: Nhấn “Yes”.

Bước 8: Chọn “Cobalt Strike” -> “Listeners”.

Bước 9: Trong cửa sổ Listerner, nhấn “Add” ở dưới cùng màn hình.

Bước 10: Mình đặt tên cho Listener này là c2. Payload thì các bạn chọn “Beacon HTTP”. Trong phần “HTTP Hosts”, nhấn dấu “+”. Cuối cùng nhấn “Save”.

Bước 11: Chọn “Attacks” -> “Scripted Web Delivery”.

Bước 12: Trong phần Listener, nhấn nút “…”. Chọn Listener bạn vừa tạo và nhấn “Choose”.

Bước 13: Trong type, chọn “powershell”, rồi nhấn “Launch”.

Bước 14: Cobalt Strike sẽ cấp cho bạn 1 câu lệnh dùng để thực thi trên máy nạn nhân. Các bạn copy câu lệnh này lại nhé.

 

Bước 15: Mở PowerShell trên máy nạn nhân và chạy câu lệnh do Cobalt Strike cấp. Đừng hỏi mình cách để mở Powershell trên máy nạn nhân rồi chạy lệnh nhé. Tuỳ thuộc vào kỹ năng của bạn mà sẽ có nhiều cách khác nhau. Mình sẽ gợi ý 2 cách là dùng social engineering hoặc nhúng lệnh vào file khác.

Bước 16: Quay lại máy Kali Linux, các bạn sẽ thấy máy của nạn nhân đã được thêm vào Cobalt Strike.

Bước 17: Chuột phải vào máy nạn nhân và chọn “Interact”.

Bước 18: Nhập một lệnh bất kì. Lệnh mà bạn nhập sẽ được thực thi trên máy của nạn nhân. Nhớ thêm shell vào trước lệnh nhé. Mình sẽ nhập lệnh shell ipconfig /all.

Và đây là kết quả. Các bạn đã thành công rồi đó.

Bài viết này chỉ demo trong môi trường mạng LAN, nếu bạn thực hiện trong môi trường Internet thì cần NAT port 50050 nhé.