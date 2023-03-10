尽管安全解决方案的新一代 AI 与机器学习组件持续强化基于行为的检测能力，但许多方案的核心仍依赖于基于特征码的检测。Cobalt Strike 自问世以来便是威胁参与者和红队广泛使用的热门命令与控制 (C2) 框架，因此安全解决方案对其建立了大量特征码识别。

为延续 Cobalt Strike 过去的实战应用，IBM® X-Force Red 对抗模拟团队投入大量研发资源，通过内部工具对 Cobalt Strike 进行定制化改造。我们部分针对 Cobalt Strike 的内部工具已推出公开版本，例如 “InlineExecute-Assembly”、“CredBandit” 和 “BokuLoader“。过去两年间，鉴于 Cobalt Strike 特征码被过度识别，我们仅将其用于模拟技术能力较低的威胁参与者；在执行更高级的红队演练时，则转向使用其他第三方及自研 C2 框架。

通过研发实践，我们在高级红队演练中取得了更好的实战成效，主要得益于以下方向：

定制化内部工具。

定制化内部加载器。

定制化内部 C2 框架。

持续投入资源扩展第三方 C2 框架的功能与隐蔽性。

然而，目前仍有大量威胁参与者使用盗版 Cobalt Strike，因此模拟这类威胁参与者仍具有重要意义。对于愿意投入研发资源的红队而言，在模拟此类对手时仍可能通过 Cobalt Strike 取得实战成果。此外，Cobalt Strike 作为优秀的学习工具，可通过红队培训课程帮助新手通过实战操作掌握 C2 框架的应用。

随着我们持续扩展 C2 框架能力，特此分享过去在 Cobalt Strike 框架基础上的开发经验，特别是通过开发定制反射式加载器的实践。本系列内容也旨在帮助防御者理解 Cobalt Strike 的工作原理，以构建更强大的检测方案。