Cobalt Strike

Cobalt Strike est un framework commercial d'adversary simulation développé par Raphael Mudge (Strategic Cyber LLC, racheté par HelpSystems puis Fortra). Vendu officiellement aux red teams et pentesters (3500$/licence/an avec validation), il est devenu paradoxalement l'outil C2 le plus utilisé par les cybercriminels et les ransomware operators (Conti, BlackCat, LockBit), grâce à des versions piratées (cracked) circulant largement.

Architecture : (1) Team Server — serveur central Java sur Linux ; (2) clients Aggressor (UI Java) connectés au Team Server pour collaboration ; (3) Beacon — l'implant déployé sur les cibles (Windows principalement, mais SSH beacon pour Linux/Mac) ; (4) Listeners — endpoints de communication (HTTP, HTTPS, DNS, SMB pipe pour lateral movement P2P, externalC2 pour intégration custom).

Fonctionnalités phares : (1) Malleable C2 profiles — personnalisation complète du trafic réseau pour mimer des apps légitimes (Amazon, Office 365, Pandora, Gmail) ; (2) execute-assembly — exécution de binaires .NET en mémoire sans toucher le disque ; (3) BOFs (Beacon Object Files) — exécution de code C compilé en process Beacon ; (4) sleep mask, jitter ; (5) lateral movement built-in (jump psexec, jump winrm, jump wmi) ; (6) port forwarding, SOCKS proxy ; (7) screenshot, keylogger, mimikatz integration ; (8) Cobalt Strike Aggressor Script API.

Détection : (1) Beacon a des signatures détectables (default named pipes \\.\\pipe\\msagent_xx, default ports, JA3 specific) — les opérateurs sérieux modifient tout cela ; (2) memory scanning avec YARA rules (Elastic publishes excellent rules) ; (3) network beaconing analysis ; (4) sleep mask detection (e.g. Beacon mask via XOR) ; (5) Sysmon + EDR ; (6) Microsoft a publié Cobalt Strike Beacon detection guidance avec Defender. Les indicateurs Team Server sont scrapés par Shadowserver et SecurityTrails.