Cobalt Strike

이번 섹션에서는 실무에서 유용하게 사용할 수 있는 비콘 명령어들에 대해서 정리합니다.

스크린샷

• printscreen : PrintScr 방식으로 단일 스크린샷

• screenshot : 단일 스크린샷

• screenwatch : 주기적으로 데스크탑 스크린샷

찍었던 스크린샷은 View > Screenshots 메뉴에서 확인할 수 있습니다.

키로거

• keylogger : 사용자의 키 입력을 캡처

모든 키 입력은 View > Keystokes 메뉴에서 확인할 수 있습니다.

키로거는 백그라운드 작업으로 실행되며 jobkill 명령어로 키로거를 중지할 수 있습니다.

beacon> jobs
[*] Jobs

 JID  PID   Description
 ---  ---   -----------
 6    0     keystroke logger

beacon> jobkill 6

클립보드

• clipboard

사용자의 클립보드에 있는 텍스트만 캡처합니다.(이미지나 다른 데이터 유형은 제외됨)

사용자의 패스워드와 같은 민감한 데이터들이 클립보드에 저장된 경우 인증 정보를 수집할 수 있습니다.

이 명령은 한 번만 실행되는 단발성 명령이며 결과는 비콘 콘솔에 즉시 출력됩니다.

유저 세션

• net logons

현재 머신에서 로그인한 사용자들의 목록을 출력하는 명령으로, 측면이동 시 유용하게 사용될 수 있습니다.

UAC Bypass

• elevate uac-schtasks tcp-local

코발트 스트라이크에 내장된 몇가지 UAC 우회 기법을 통해 권한을 상승시킬 수 있습니다.

Credential Theft

Beacon + Mimikatz

코발트 스트라이크에서는 내장된 mimikatz 기능이 있습니다.

기본적으로 mimikatz를 Windows에서 사용하게 되면 디펜더 수준에서 걸리게 되지만

코발트 스트라이크의 내장 mimikatz 경우 난독화 및 시그니처 코드 등이 제거된 버전이므로 비교적 안전합니다.

또한 코발트 스트라이크 내에서는 mimikatz 명령 실행마다 새로운 임시 프로세스에서 실행되기 때문에

연속된 명령을 통해서 실행해야 하는 경우 세션이 다르기 때문에 동작되지 않습니다.

때문에 연속된 명령을 할 때는 세미콜론(;)를 이용하여 원라인 명령을 입력합니다.

beacon> mimikatz token::elevate ; lsadump::sam

또한 !와 @ 기호를 수식어로 사용하는 자체 명령어 규칙을 가지고 있습니다.

! 는 주어진 명령을 실행하기 전에 Beacon을 System 권한으로 상승시킵니다.

High Level Integrity 는 이미 높은 권한이지만 System을 가장할 필요가 있을 경우 유용합니다.

위에서 사용한 명령어에서 token::elevate 또한 ! 기호를 통해 대체가 가능합니다.

beacon> mimikatz !lsadump::sam