护网在即，双手奉上一份来自 2025 上半年的 Cobalt Strike 资产情报

2025 年 6 月，护网将至。

像往年一样，运维的微信群开始活跃了起来。有人在发升级通知，有人在问堡垒机策略，还有人把 Nmap 的扫描脚本贴出来，一字一句核查端口是否该开。

但我们却决定，先看看“对面”。

过去半年里，我们统计了一份名单——2024 年 8 月 至 2025 年 6 月，所有暴露在公网的 Cobalt Strike 相关资产。它们以 IP 和 Beacon 的形式躺在数据里，没有身份、没有归属，像是海面上浮出的一个个暗礁。

你也许见过这些 IP，有些曾是你测试环境的临时节点，有些来自某次演练后没关的“teamserver”，还有一些，说不清是训练场，还是战场。

在这份数据里，我们看到了一些重复出现的 Beacon 端口——这可能意味着这些服务器仍在活动中，也可能只是还没被谁想起；我们还发现了一些出现在多个国家的节点，像是幽灵，迁徙在不同的云服务商之间。

最令人警觉的，是那些带着中文命名的“忘记关闭”的服务——它们像一封封未销毁的情报，等着被谁捡走。

我们无法确认这些 IP 背后的每一个故事，但我们知道，它们曾真实运行，曾响应连接，也许此刻还在运行。

所以这不是一份“漏洞榜单”，也不是猎奇的“APT图鉴”。这是一份提醒，一份告诉你，“演练开始”这四个字之前，威胁已经上路的提醒。

请别只盯着攻防的“开幕式”，也别神化每一个“对手”。护网不是比赛，是一次行业性的体检，真正的漏洞，往往来自最熟悉的地方。

这份 Cobalt Strike 暴露清单，我们已经整理好。

不是为了恐吓谁，也不是炫技，只是希望：

在你忙着做加固脚本前，先多看一眼公网；

在你设置封禁策略时，先排查一下自己；

在护网开始前，先关掉那几个“不该开的门”。

别让“防御”这件事，变成护网时才想起的事。

这份清单，并不是什么“情报大师”的独家成果，它更像是一面被忽视的镜子——我们只是把过去六个月里暴露的 Cobalt Strike 资产，一条条地照了出来。

它不会告诉你谁是攻击者，但能提醒你谁可能是受害者。

你也许会在清单中发现一些眼熟的 IP，也许会发现某个你们单位测试用的服务器，早在几个月前就出现在了公共扫描数据库里；也许会突然意识到，某条 Beacon 的默认配置，和你们今年第一季度的红队任务一模一样。

如果这些信息还能引起一点不适感，那这份清单就值了。

我们无法改变每一次工具的外泄，也无法阻止每一次团队演练后的疏忽，但我们可以提醒彼此：所有留下的痕迹，都有可能在未来变成一把钥匙，打开一扇你没锁好的门。

而真正可怕的从来不是技术漏洞，而是“习惯性忽略”。

安全行业的人都知道，护网演练有固定时间、固定脚本、固定打法。但真正的对手，从不按剧本来。他们不会等演练开始才出手，更不会等你写完日报才消失。他们利用的，恰恰是你以为“已经结束”的那一刻。

如果你此刻正准备开启护网演练的节奏，请在看完这篇文章后，打开你们的防火墙策略、访问日志、历史资产清单，再看一遍这份 Cobalt Strike 资产列表。

你不需要追溯每一个地址的来龙去脉——只需要在它变成事故之前，把门关上。

这不是一次“情报发布”，这是一次互相提醒。 提醒我们： 护网，不止于护演； 演练，也不该止步于演。

真正的防守，是从演练开始之前，就已经开始了。

完整清单已整理至腾讯文档，供安全从业者参考使用。

请认准【攻防SRC】公众号发布的链接，谨防假冒文档与钓鱼页面。

点击下方二维码，或使用微信扫码，直达在线文档：

文档中已按国家/地区、端口、网络服务提供商等维度进行了整理，支持关键词查找与复制引用，建议保存备查。

特别提醒：

本清单仅用于技术研究与网络防御加固，不得用于任何非法用途。

请勿将数据上传至外部平台或用于未经授权的演练。