Saltar a contenido

Session Passing From Core Impact to Cobalt

Cobalt Strike es la solución de Core Security para simulaciones de adversarios y operaciones de red team. Permite a las empresas emular las tácticas y técnicas de un adversario avanzado en una red de TI para resaltar debilidades. Aquellos con ambas herramientas ahora pueden desplegar un Cobalt Strike Beacon desde dentro de Core Impact. Beacon es el payload de Cobalt Strike para modelar atacantes avanzados y se puede usar para gestionar trabajos de post-explotación.

Esta interoperabilidad puede agilizar aún más los esfuerzos de pruebas de penetración. Por ejemplo, los usuarios pueden comenzar su compromiso obteniendo acceso inicial desde Core Impact. A partir de ahí, pueden continuar con actividades de post-explotación generando un Cobalt Strike Beacon.

Configuración del Entorno

Para comenzar, necesitas configurar un espacio de trabajo en Core Impact con un entorno objetivo y un agente en la caja de vagrant en .40. Este es un agente no persistente activo.

Core Impact Home Screen

Configuración del Servidor de PowerShell Empire

También necesitarás un servidor ejecutando PowerShell Empire. Para comenzar la configuración, necesitarás iniciar un listener.

PowerShell Empire Server Set Up

Agentes de PowerShell

Ahora necesitarás ir al menú de agentes para ver si hay algún agente activo en PowerShell. En este ejemplo no hay, así que utilizarás Core Impact ya que tienes un agente allí.

PowerShell Agent Screen

Despliegue de un Agente de PowerShell Empire desde Core Impact

Ve a “modules” en Core Impact y busca “Empire” para ver todos los módulos para PowerShell Empire. Primero, querrás desplegar un PowerShell Empire Agent. Simplemente selecciona el módulo "Deploy PowerShell Empire Agent" y suéltalo sobre tu agente(0).

Core Impact PowerShell Empire Module Screen

Se te pedirá información de dirección y credenciales. La dirección debe apuntar a tu caja de PowerShell Empire, así que ingresa las credenciales apropiadas. Asegúrate de que el “Listener” sea el listener que configuraste recientemente.

Core Impact PowerShell Empire Credentials Screen

Verificación del Progreso

Ahora puedes aprovechar Core Impact revisando el registro del módulo para rastrear el progreso. También puedes usar el terminal para ver si el agente está activo. Si se hace correctamente, acabas de instalar un agente de PowerShell Empire en una caja donde ya tenías un agente de Core Impact instalado.

Core Impact and PowerShell Empire Progress Logs

Interacción con el Agente

El siguiente paso es interactuar con el agente en PowerShell Empire. En este ejemplo estamos ejecutando mimikatz.

PowerShell Agent Interaction Screen

Recolección de Credenciales

Ahora puedes revisar las credenciales que has descubierto. Utilizaremos la información para realizar un salto usando los nombres de usuario y contraseñas descubiertos.

Core Impact PowerShell Empire Harvesting Credentials Screen

Movimiento Lateral

Puedes realizar un salto utilizando los nombres de usuario y contraseñas que descubriste recientemente. Usando PowerShell Empire, querrás utilizar el comando “usemodule lateral movement” desde el agente.

PowerShell Empire Lateral Movement Screen

Ahora tendrás agentes adicionales en PowerShell Empire y puedes usar el módulo “Install Agent Using PowerShell Empire Agent” en Core Impact utilizando el agente de PowerShell Empire que acabas de encontrar. Core Impact contactará al agente de PowerShell Empire al que nos acabamos de mover y desplegar.

Core Impact Install PowerShell Agent Screen

Core Impact New PowerShell Empire Agent Installed

Transcripción del Video

  1. Introducción:

    • Explicación del propósito y funcionalidad de Cobalt Strike.
    • Conexión de la interfaz de usuario de Cobalt Strike a un servidor en la nube.

    • Preparación y Generación del Payload:

    • Uso del módulo "Run Shellcode in Temporary Process" en Core Impact.

    • Generación del payload de Beacon en Cobalt Strike.

    • Ejecución del Payload en Core Impact:

    • Ejecución del payload de Beacon en un agente de Core Impact.

    • Visualización del nuevo agente en Cobalt Strike.

    • Despliegue de un Segundo Beacon:

    • Generación y ejecución de un beacon de SMB en Core Impact.

    • Verificación del agente en Cobalt Strike y vinculación del beacon de SMB.

    • Resumen y Conclusión:

    • Ejemplos de cómo pasar sesiones de Core Impact a Cobalt Strike.

    • Despedida y buenos deseos para la audiencia.

Este resumen cubre los pasos clave para configurar y ejecutar una campaña de ataque utilizando Core Impact y Cobalt Strike, desde la configuración inicial hasta la recolección de credenciales y el movimiento lateral, destacando las funcionalidades avanzadas y configuraciones necesarias para realizar pruebas efectivas de penetración.