Cobalt Strike 的工作流程图

流程图（文字描述版）

​[攻击者 Attacker] -> [Cobalt Strike 客户端 Client] -> [Cobalt Strike 团队服务器 Team Server / C2] -> [重定向器 Redirector (可选)] -> [互联网 Internet] -> [目标主机 Target]​

详细步骤分解

阶段一：基础设施搭建与准备

1. 部署服务器: 攻击者在公网的一台 Linux 服务器上安装并运行 Team Server。

• ​./teamserver <C2服务器IP> <连接密码>​

2. 连接客户端: 攻击者在自己的电脑上运行 Cobalt Strike 客户端，连接到 Team Server。
3. 配置监听器 (Listener) : 在客户端界面上，攻击者创建一个监听器，并配置 C2 的域名/IP、端口以及通信协议（如 HTTP/HTTPS）。这个配置告诉 Team Server 在哪个地址和端口上等待 Beacon 的回连。

阶段二：初始访问 (Initial Access)

4. 生成载荷 (Payload) : 攻击者利用 Cobalt Strike 生成恶意载荷。这可以是一个 Word 宏、一个 PowerShell 脚本或一个可执行文件（.exe）。这个载荷里包含了连接到步骤3中配置好的监听器的信息。
5. 投递载荷: 攻击者通过各种手段将载荷投递给目标。

• 钓鱼邮件: 将带有宏的 Office 文档作为附件发送。
• 漏洞利用: 利用 Web 漏洞或其他软件漏洞将载荷植入。
• 物理介质: 使用 U 盘等。

阶段三：建立通信与控制

6. 执行载荷: 目标用户打开了恶意文档或运行了恶意程序，载荷被执行。
7. 阶段性加载 (Staging) : 载荷的第一部分（Stager，非常小）会连接到 C2 服务器，下载完整的 Beacon 核心程序到内存中。
8. Beacon 回连: 完整的 Beacon 程序开始运行，并按照预设的时间间隔（如每60秒一次）向 C2 服务器的监听器地址发送“心跳”信号（Beaconing），请求指令。
9. 建立会话: Team Server 接收到 Beacon 的回连后，会在 Cobalt Strike 客户端界面上生成一个新的会话（Session），显示目标主机已上线。攻击者至此已获得对该主机的初步控制权。

阶段四：后渗透操作 (Post-Exploitation)

10. 下达指令: 攻击者通过客户端与上线的会话进行交互，下达各种后渗透命令。

• 信息收集: 了解系统环境、用户权限、网络配置等。
• 权限提升: 尝试获取管理员或 SYSTEM 权限。
• 横向移动:
• 使用 Mimikatz 等工具抓取凭据（密码、哈希）。
• 利用获取的凭据或漏洞，在内网中扫描并感染其他主机（例如创建 SMB Beacon）。
• 不断重复这个过程，逐步控制整个内网。

11. 达成目标:

• 窃取数据: 找到敏感数据并将其传回 C2 服务器。
• 部署勒索软件 或实现其他最终攻击目标。
• 建立持久化: 创建后门，确保即使系统重启后也能重新建立控制。

这个流程完整地展示了 Cobalt Strike 从准备到最终完成攻击任务的全过程，是一个典型的现代网络攻击生命周期模型。