CobaltStrike是一款内网浸透的商业远控软件，支撑自定义脚本扩展，功用十分强壮,常被业界人称为CS神器。Cobalt Strike现已不再运用MSF而是作为独自的渠道运用，它分为客户端与服务端，服务端只要一个，而客户端则有多个，可让团队进行分布式协同操作。
Cobalt Strike集成了端口转发、扫描多形式端口Listener、Windows exe程序生成、Windows dll动态链接库生成、java程序生成、office宏代码生成，包含站点克隆获取浏览器的相关信息等。
2019年11月，Github上有人放出了CobaltStrike3.12的试用版。不过在2019年1月2日，Cobalt Strike 3.13版别发布，其间包含一个“外部空间”的修正程序。在曩昔一年半的时间里， Fox-IT（荷兰安全公司）正是运用服务器呼应中这种不常见的whitespace来监测Cobalt Strike服务器的。WhiteSpace，是一种只用空白字符（空格，TAB和回车）编程的言语，而其它可见字符通通为注释。Whitespace是一种深奥难懂的程序规划言语，由Edwin Brady和Chris Morris开发，2003年4月1日发布。
为什么要对Cobalt Strike进行安全监测并进行快速的更新呢？
Cobalt Strike现已存在了十多年，但在曩昔的五年中，因为Cobalt Strike的易用性和可扩展性，它现已被进犯者给运用了。在曩昔几年中，Cobalt Strike现已成为他们的工具包，例如FIN6、FIN7(Carbanak)、APT29等黑客安排。进犯者运用Cobalt Strike来保管他们的C&C服务器，然后通过它在受感染主机上布置歹意软件。Cobalt Strike因为其特别的“双面特务”身份，使其成为安全研讨人员研讨户外要挟的重要途径。
可是，因为Fox-IT研讨人员在Cobalt Strike服务器组件中发现了一个缝隙。该缝隙根据Java的 *** 服务器NanoHTTPD构建，所以进犯并不知道Fox-IT运用这个不常见的whitespace来检测信标与其C&C服务器之间的Cobalt Strike通讯，通过该缝隙研讨人员现已揭露了数千个歹意软件指令和操控(C&C)服务器的方位。其间一些IP地址或许归于安全公司为测验意图而保管的合法Cobalt Strike实例，但Fox-IT以为其间许多也来自黑客安排。直到2019年1月2日，Cobalt Strike开发人员在Cobalt Strike 3.13版别中修正了这个缝隙。
在本文中，安全研讨人员将发布一个完好的服务器列表，以供读者查看其基础设施的日志记载和安全操控状况。
因为Cobalt Strike是运用Malleable C＆C装备文件进行装备的，该装备文件可用于自定义其信标的行为，运用户能够模仿户外进犯运用中的TTP (Time-Triggered Protocol)。因为该框架在模仿进犯的框架上规划的十分成功，这也导致该软件的盗版运用现象十分严峻，这也意味着对Cobalt Strike 3.13的更新，在未来需求很长一段时间才干完结。所以，在未来扫描期间呈现的大多数服务器很或许是歹意软件操作的一部分。
Cobalt Strike团队服务器
虽然Cobalt Strike的植入组件被称为“信标”，但服务器组件被称为“团队服务器（team server）”。因为服务器是用Java编写的，操作员能够连接到服务器，运用用户界面办理Cobalt Strike信标并与之交互。别的，团队服务器还充任信标连接到的 *** 服务器，用于指令和操控，但也能够将其装备为服务信标有效载荷、登录页面和恣意文件。
通过运用比如Snort之类的侵略检测体系(IDS)签名，能够对与这些服务器的通讯进行指纹辨认。可是假如对信标进行了过多的自定义，而且运用了自定义的TLS证书，辨认进程就会很费事。这时，就需求通过运用其他指纹辨认技能（如下一节所述），才干 *** 出能够揭露拜访的Cobalt Strike团队服务器的精准画像。
辨认Cobalt Strike团队服务器
Fox-IT选用InTELL剖析办法，对HTTP标头反常进行了剖析，他们发现了Cobalt Strike团队服务器在对歹意活动进行全球查询时，会呈现一个不寻常的外部空间。虽然这是一个偶尔的现象，但关于安全研讨人员来说，比如此类的细节能够让他们捕获与歹意活动相关的重要信息。在捕获这一细节后，安全研讨人员觉得有必要对团队服务器的设置进行额定的研讨，这终究导致Fox-IT能够更好的维护他们的客户免受用Cobalt Strike缝隙的影响。
Cobalt Strike中团队服务器的 *** 服务器根据NanoHTTPD，这是一个用Java编写的开源 *** 服务器。可是，此 *** 服务器会在无意中在其一切HTTP呼应中回来剩余的whitespace，乍一看很难发现它们，但通过仔细观察，Cobalt Strike *** 服务器的一切HTTP呼应中都有剩余的空格。

运用这些剩余的空格，能够辨认NanoHTTPD服务器，包含或许的Cobalt Strike团队服务器。安全研讨人员发现公共NanoHTTPD服务器不如团队服务器常见。即便团队服务器运用Malleable C2 Profile，因为“外部空间”的存在，依然能够辨认服务器。
Cobalt Strike运用Malleable-C2-Profiles来进行假装流量，完成通讯藏匿的作用。详细进程是研讨人员对cobalt strike的server端进行躲藏，伪形成一个正常的Web服务器，以此来假装流量，终究到达通讯藏匿的作用。
如上所述，“外部空间”在2019年1月2日发布的Cobalt Strike 3.13中得到修正。假定它自2012年发布以来初次运用NanoHTTPD，这意味着这一缝隙现已在Cobalt Strike中有近7年的前史了。假如仔细观察，你还能够在一些YouTube视频中找到2014年的对这个“外部空间”的解说。

在更改日志中记载了删去这个“外部空间”的现实，这使安全研讨人员信任Cobalt Strike开发人员现已意识到这样一个空间在服务器呼应中的意义，以及它对进犯者的潜在价值。

[1] [2]  黑客接单网