• 更新日:

Cobalt Strike

主にレッドチーム演習や侵入テストを目的とした攻撃シミュレーションツール。特にシステム侵入後の情報窃取や横展開のための各種機能を提供します。対象マシンにBeaconを配置し、C2通信、各種コマンド実行、キーロギング、特権昇格等、多くのことを実行可能です。

目次
  1. 概要
  2. 機能

概要

Cobalt Strikeは、独自のペイロード(Beacon)や柔軟なC2フレームワークを通じて、高度なサイバー攻撃手法を再現することが可能な製品です。

【参考動画】

Cobalt Strike In 5 Minutes

Cobalt Strike Introduction and Demo

機能

  1. Beacon(ビーコン)
    Cobalt Strikeの中核となるエージェントが「Beacon」です。ターゲット環境内で動作し、C2(Command & Control)サーバーとの通信を行います。

    • 通信方法のカスタマイズ: 通信間隔やHTTP/HTTPSのプロファイル、キーワードなどを柔軟に設定し、ネットワーク上の検知を回避しやすくする「Malleable C2」という仕組みがあります。
    • ステルス性: ネットワーク監視やEDR/AVなどによる検知を回避するために、C2通信のトラフィックやプロセス挙動をカスタマイズ可能です。
  2. 攻撃ペイロードの生成・配信
    Cobalt Strikeは、ターゲット環境に侵入するための様々な攻撃手法をサポートしています。

    • スタンドアロンのペイロード生成: EXEやDLL、PowerShellスクリプト、Officeドキュメントなど、多様な形式のペイロードを生成できます。
    • エクスプロイトとの連携: 他の侵入ツール(たとえばMetasploitなど)と組み合わせて脆弱性攻撃を行い、Cobalt StrikeのBeaconを展開できます。
  3. ポストエクスプロイト機能
    侵入成功後の活動(ポストエクスプロイト)を支援するさまざまな機能が備わっています。

    • 権限昇格: トークンの盗用やPotato系のテクニックなど、Windows環境での権限昇格をサポートします。
    • 内部探索(レコナイサンス): ネットワーク上のホストやサービス、共有フォルダなどの情報を取得し、横展開を行うための下準備を行えます。
    • ファイル操作: ターゲット内でファイルのアップロード・ダウンロード、削除、実行などが可能です。
    • キーロギング: 被害ホスト上でユーザー操作の監視・収集が可能です。
    • スクリーンキャプチャ: リアルタイムまたは定期的にターゲット画面をキャプチャできます。
    • レジストリ操作: レジストリエディタと同様の操作が可能です。
  4. ピボットと横展開
    ネットワーク内部での横移動や他ホストへの侵入を容易にするための機能が充実しています。

    • Socksプロキシ機能: 感染ホストをプロキシとして利用し、内部ネットワークへのアクセスを可能にします。
    • パスワードダンプ: Mimikatzなどの仕組みと連携してパスワードやハッシュを抽出し、他のホストへアクセスすることができます。
    • リモートサービスの作成・実行: Windowsの管理共有(SMBなど)経由でサービスを作成し、Beaconを展開可能です。
  5. チームサーバーとコラボレーション機能
    Cobalt Strikeには、レッドチームの複数メンバーが同時に作業できるようにするための「チームサーバー」が存在します。

    • 複数オペレーター同時接続: 1つのチームサーバーに対して複数メンバーが接続し、リアルタイムで情報を共有・コマンドを実行できます。
    • イベントログ: タイムライン形式でアクティビティがログとして残り、レッドチーム同士の進捗管理やレポーティングに役立ちます。
  6. レポート機能
    レッドチーム演習やペネトレーションテストの成果をまとめるため、Cobalt Strikeはレポート生成機能を提供しています。

    • 自動レポーティング: 攻撃シナリオや取得した情報、成功した攻撃手法を自動でまとめる機能があります。
    • カスタムテンプレート: 企業独自のフォーマットやブランドに合わせたレポートテンプレートを作成可能です。
  7. Malleable C2 プロファイル
    Cobalt Strikeを象徴する機能のひとつで、通信挙動やペイロードの挙動を詳細にカスタマイズできる仕組みです。

    • HTTPヘッダーの擬装: 汎用のウェブトラフィックに似せる形でビーコン通信を行うため、検知を回避しやすくなります。
    • エンコードや圧縮の設定: データをどのようにエンコード/圧縮してC2に送信するかを細かく指定できます。
    • 検知回避: 既存のシグネチャや振る舞いベースのルールでは検出されにくい通信パターンを作りやすくなります。
  8. サードパーティとの統合
    Cobalt Strikeは他のセキュリティツールやプラットフォームとも連携しやすいよう設計されています。

    • Metasploitとの統合: もともと同じ開発者コミュニティ由来の技術背景があるため、Metasploitフレームワークと比較的スムーズに連携可能です。
    • 外部スクリプト連携: Aggressor Scriptと呼ばれる独自のスクリプト言語で機能を拡張することができます。
    • SIEM/EDRとの相互動作(擬似ログ生成など): 実際の攻撃シナリオを演習環境でテストする際、ログの生成や検知テストに活用できます。

目次

  1. 概要
  2. 機能
TOP