CobaltStrike是一款渗透测试神器，支持http/https、tcp、smb等多种通信方式。

在hvv防守方、应急响应等场景中，都有检测CobaltStrike的需求。

现有检测方案

使用特征码扫描

• b09K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6m8M7s2t1@1K9q4)9J5c8V1y4G2j5X3q4D9N6q4y4@1M7X3W2C8k6g2y4U0j5h3^5`.
• 2f8K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6o6b7$3!0T1i4K6u0r3b7X3g2S2j5$3!0F1c8i4W2W2
• 650K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6B7j5i4x3#2x3o6u0F1i4K6u0r3j5%4y4Q4y4h3k6&6j5i4u0S2

通常使用yara规则去匹配内存或者文件,但缺点如不支持3.x、只支持http/https的beacon等

内核检测方案

• [2021]检测Cobalt Strike只使用40行代码

其技术原理是

1. 在内核通过PsSetLoadImageNotifyRoutine设置镜像加载通知回调，之后任何exe,dll的加载都会被检测。
2. 而CobaltStrike使用sRDI方案，shellcode会调用LoadLibrary来加载需要dll，此时获取堆栈回溯
3. 检测调用者的内存属性为是否为private，是否可写

但缺点是

1. 内核模块启动要先与CobaltStrike，如果已经运行则无法检测
2. 在客户业务环境中内核模块要保证稳定性兼容性，还要解决数字签名等问题

CobaltStrike特征分析

鉴于以上两种方案各有缺点，CobaltStrike的特征到底是什么?

我认为有两个通用的特征

1. 对于http/https通信而言CobaltStrike均使用WinINet.dll来进行通信
2. 无论选择exe/dll/raw等格式，CobaltStrike内存均会sRDI

通过ETW记录WinINet日志

ETW可以记录WinINet的进程id、线程id、url、请求头、返回状态码、返回头等信息

在应急中，可以通过进程id、线程id、url进一步排查，进而阻断其网络和进程。

手动操作步骤

1. 打开事件查看器
2. 打开菜单 查看->显示分析和调试日志
3. 进入 应用程序和服务日志->Microsoft->Windows->WinINet(Microsoft-Windows-WinINet)
4. 右键启动 Microsoft-Windows-WinINet/UsageLog 日志

[招生]科锐逆向工程师培训(2025年3月11日实地，远程教学同时开班, 第52期)！