Discussione Armitage VS Cobalt Strike

Stato
Discussione chiusa ad ulteriori risposte.

wesker1998

Utente Silver
17 Gennaio 2022
104
32
64
92
Nel caso di Armitage e Cobalt Strike, non me la sento assolutamente di dire qual è meglio e qual è peggio, più che altro mi piacerebbe dire: quale si adatta meglio alle esigenze del pentester?

Allora io sono onestissimo, e devo dire, che a causa della scarsa reperibilità di informazioni su Cobalt Strike, anche dovuta alla sua natura non-open source, non sono in grado di fornire un'analisi accurata al 100%, ma sulle basi del tool penso di esserci. Se qualcuna delle informazioni risulta errata o datata e qualcuno vuole correggere nei commenti, è ben voluto.

Armitage è una suite di post-exploitation annessa a Metasploit, il suo scopo è sostanzialmente di automatizzare le azioni di post-exploiting tenendo sotto controllo tutti i dispositivi del network, di cui intendiamo prendere possesso. Questo compito ce lo consente attraverso una GUI abbastanza pratica ed efficace, evidenzia in rosso i dispositivi di cui abbiamo preso possesso, ed evidenziando in verde tutti gli altri. E Cobalt Strike fa la stessa identica cosa, la differenza sostanziale fra i due tool starebbe sul piano tecnico: Cobalt Strike non ha niente a che vedere con Metasploit, ed è già configurato per lavorare autonomamente con un payload chiamato Beacon. Questo, è il payload speciale che Cobalt Strike genera e sfrutta in modo autonomo, per creare un ponte fra il dispositivo dell'attaccante e il target. Armitage, essendo sostanzialmente una versione "GUI" di Metasploit, lavora solamente con i payload di Metasploit, e non è compatibile con quelli che fa Cobalt Strike.

Un topic palesemente di merd*, a me fa sempre piacere essere informato su questi argomenti, ma purtroppo, oltre che a scoprire che vogliono 3,500€ per farti avere una copia legale di Cobalt Strike, al momento non ho trovato altro, a parte quello che ho scritto. Su Google ci sono vari siti che non fanno che ripetere cagate del tipo che Cobalt Strike è una powerhouse degli hacker etici, che però va a finire in mano a criminali... Beh ci credo, prendi un tool che genera un payload full undetectable e prendimi un malintenzionato... Il risultato è quello. Tuttavia, sull'aspetto tecnico, molti siti sono davvero carenti di informazioni riguardanti Cobalt. Se riuscite a trovare altre informazioni, buon per voi.

PS. Non scaricate le versioni craccate di Cobalt, vi ritroverete in due situazioni (e lo dico conoscendo la pura natura di internet, e dell'uomo)
1) Se vi va di lusso il tool funziona ma essendo una versione datata, dropperà payload di bassa qualità, della serie che anche il peggiore degli AV se ne accorge, perché sono vecchie. Non vale nemmeno tanto il discorso "Eh ma sai riscrivitele", sì, possiamo farlo, ma chi ci garantisce che dopo averle riscritte il tool datato le riconosca ancora dopo le modifiche? Dovrai probabilmente modificare anche il tool. La mia voglia di fare tutto questo lavoro, almeno per me, è zero.

2) Al tool stesso vengono bindati altri payload puzzi per fregarvi, con la scusa "Eh sai è un RAT per funzionare devi disabilitare l'antivirus" Sì certo calati le braghe così ti entrano nel computer anche con un payload fatto a freddo con msfvenom :D

Insomma, non scaricate Cobalt Strike craccato, e nemmeno altri tool già famosi a pagamento con la scusa che con la crack li usate gratis. Informarsi, è sempre meglio che agire a caso, soprattutto quando si parla di IT Security e programmazione.
 
  • Mi piace
Reazioni: biotek_
Stato
Discussione chiusa ad ulteriori risposte.