A menudo nos preguntan qué hace Cobalt Strike. En pocas palabras, Cobalt Strike es un entorno de postexplotación para simulaciones de adversarios y red teaming que ayuda a evaluar el programa de operaciones de Seguridad y la capacidad de respuesta ante cualquier incidente. Y cuenta con Beacon, un agente postexplotación, además de canales encubiertos que permiten emular un adversario oculto en la red por un largo período de tiempo.
Si los security testers y los miembros del equipo rojo siguen realizando las mismas pruebas y de la misma forma en cada ejercicio, su audiencia (es decir, el lado defensivo) no va a obtener mucho valor de los ejercicios. Es importante ser ágil.
Cobalt Strike ofrece una excelente flexibilidad para que los usuarios cambien de comportamiento y se adapten como lo haría un adversario. Por ejemplo, Malleable C2 es un lenguaje de mando y control que permite modificar la memoria y los indicadores de red para controlar cómo se ve y se comporta Beacon en la red.
Cobalt Strike ha sido diseñado para ser multijugador. Una de sus funcionalidades fundamentales es la posibilidad de que múltiples usuarios accedan a múltiples servidores y compartan sesiones. Al permitir la participación de usuarios con diferentes estilos y habilidades, el comportamiento resulta más variado y mejora los ejercicios.
Aunque Cobalt Strike incluye numerosas funcionalidades, todas ellas se limitan a lo que el equipo agrega a la herramienta. Una de nuestras favoritas son los módulos desarrollados por el usuario, gracias a los cuales se superan muchos de los límites propios. De hecho, se anima a los usuarios a ampliar sus funcionalidades con herramientas y scripts complementarios, para adaptar los ejercicios de modo que satisfagan mejor las necesidades de la organización.
A continuación, destacaremos algunas de las formas en que los usuarios de Cobalt Strike lo hacen para conseguir evaluaciones más eficaces.
Interoperabilidad con Core Impact
Contrariamente a lo que muchos creen, Cobalt Strike no es en realidad una herramienta de pentesting. Tal como dijimos con anterioridad, se trata de una herramienta para realizar simulaciones de adversarios postexplotación y operaciones del equipo rojo. Sin embargo, recientemente hemos empezado a ofrecer interoperabilidad con Core Impact, que es un software de pruebas de penetración con funcionalidades que se conjugan bien con las de Cobalt Strike.
Core Impact se utiliza normalmente con exploits y movimientos laterales y para validar las rutas de ataque, a menudo asociadas al pentesting. En manos de equipos internos y proveedores de servicios, también ofrece funciones para la explotación remota, local y del cliente. Core Impact también utiliza agentes postexplotación que, aunque no tienen un nombre tan interesante como “Beacon”, resultan versátiles tanto por su implementación como por sus funciones, entre los cuales podemos encontrar el encadenamiento y el pivoteo.
A modo de resumen rápido diremos que la interoperabilidad viene en forma de session passing entre ambas plataformas. Quienes utilicen ambas herramientas pueden implementar Beacon desde Core Impact. Además, es posible generar un agente de Impact desde Cobalt Strike. Si tiene Cobalt Strike y desea obtener más información, le recomendamos solicitar una prueba gratuita de Core Impact.
Integración con RedELK de Outflank
RedELK es una herramienta de código abierto que ha sido descrita por sus creadores como un “SIEM del equipo rojo”. Esta práctica herramienta rastrea y envía alertas al equipo rojo sobre las actividades del equipo azul, mediante la creación de un hub al que se envían todos los registros del tráfico de los redireccionadores para mejorarlos.
Conocer los movimientos del equipo azul permite al equipo rojo tomar mejores decisiones antes de dar el siguiente paso. Esta información ayuda al equipo rojo a aprender más y a garantizar que el equipo azul aprovecha al máximo sus simulaciones.
Además, también centraliza y enriquece todos los registros operativos de los servidores del equipo, para proporcionar un historial de búsqueda de la operación, lo cual podría resultar especialmente útil en el caso de simulaciones más duraderas y de mayor envergadura. Esto suena a integración perfecta para los usuarios de Cobalt Strike, ¿verdad? Aunque el título de este apartado es un claro espóiler, resulta muy emocionante descubrir que RedELK es totalmente compatible con el entorno de Cobalt Strike.
Extensiones del Community Kit
No nos cansamos de alabar a la comunidad de usuarios. Han sido muchas las personas que han programado herramientas y scripts de gran calidad, que han aumentado todavía más la potencia de Cobalt Strike. Nos sentimos como la musa de un artista y el arte que crea la comunidad es impresionante.
Sin embargo, muchas de estas extensiones son difíciles de encontrar, por lo que no todos han tenido la oportunidad de utilizarlas y aprender de ellas. Para preservar todo ese arduo trabajo, hemos creado el Community Kit: un repositorio central en el que se muestran los proyectos de la comunidad de usuarios para ponerlos al alcance de la mano de los profesionales de la Seguridad.
Conozca más para descubrir el fantástico trabajo de otros colegas, que puede ayudarlo a mejorar la calidad de su próximo ejercicio de Seguridad e, incluso, servirle de inspiración para crear y compartir su propio proyecto.
Un entorno dinámico
Cobalt Strike se diseñó deliberadamente como un entorno adaptable para que los usuarios pudieran cambiar en cualquier momento su comportamiento durante la simulación de adversarios. Pero esta flexibilidad también ha hecho posible un crecimiento previsto e imprevisto de la propia herramienta.
Los añadidos planificados, como la interoperabilidad con Core Impact, hacen posible el uso de session passing, aunque las extensiones no previstas, como las del Community Kit, también son bienvenidas, ya que permiten a los usuarios hacer realmente suya la herramienta.
En definitiva, nos encanta ver tanta dedicación a esta herramienta desde todos los ángulos, porque nos motiva a seguir mejorando Cobalt Strike para que los usuarios puedan utilizar al máximo cada ejercicio de Seguridad.
Vea Cobalt Strike en acción
Descubra por qué Cobalt Strike es la plataforma de simulación de adversarios preferida por los profesionales de Ciberseguridad. Solicite una demostración en vivo y le mostraremos las principales funcionalidades en pocos minutos.