0x00 最基本的团队服务模型
这里介绍最基本的团队服务模型,具体由三个服务器构成,具体如下所示:
-
临时服务器(Staging Servers)
临时服务器介于持久服务器和后渗透服务器之间,它的作用主要是方便在短时间内对目标系统进行访问。
它也是最开始用于传递payload、获取初始权限的服务器,它承担初始的权限提升和下载持久性程序的功能,因此这个服务器有较高暴露风险。
-
持久服务器(Long Haul Servers)
持久服务器的作用是保持对目标网络的长期访问,所以持久服务器会以较低的频率与目标保持通信。
-
后渗透服务器(Post-Exploitation Servers)
主要进行后渗透及横向移动的相关任务,比如对目标进行交互式访问
0x01 可伸缩红队操作模型
可伸缩红队操作模型(Scaling Red Operations)分为两个层次,第一层次是针对一个目标网络的目标单元;第二层次是针对多个目标网络的权限管理单元。
目标单元的工作:
-
负责具体目标或行动的对象
-
获得访问权限、后渗透、横向移动
-
维护本地基础设施
访问管理单元的工作:
-
保持所有目标网络的访问权限
-
获取访问权限并接收来自单元的访问
-
根据需要传递对目标单元的访问
-
为持续回调保持全局基础环境
0x02 团队角色
-
开始渗透人员
主要任务是进入目标系统,并扩大立足点
-
后渗透人员
主要任务是对目标系统进行数据挖掘、对用户进行监控,收集目标系统的密钥、日志等敏感信息
-
本地通道管理人员
主要任务有建立基础设施、保持shell的持久性、管理回调、传递全局访问管理单元之间的会话
0x03 日志记录
Cobalt Strike的日志文件在团队服务器下的运行目录中的logs文件夹内,其中有些日志文件名例如beacon_11309.log,这里的11309就是beacon会话的ID。
按键的日志在keystrokes文件夹内,截屏的日志在screenshots文件夹内,截屏的日志名称一般如screen_015321_4826.jpg类似,其中015321表示时间(1点53分21秒),4826表示ID
原文链接:https://www.teamssix.com/year/200419-150440.html 参考链接: https://www.bilibili.com/video/BV16b411i7n5 http://blog.leanote.com/post/snowming/62ec1132a2c9 https://blog.cobaltstrike.com/2014/09/09/infrastructure-for-ongoing-red-team-operations/
往期推荐
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论