# Cobalt Strike > [!danger] Framework C2 - O Padrão da Indústria (Legítimo e Criminal) > Cobalt Strike é simultaneamente o framework de simulação de ameaças mais utilizado por red teams profissionais e a ferramenta de C2 mais comum em incidentes de ransomware e espionagem APT. Licenças crackeadas desde 2020 democratizaram o acesso ao Beacon para grupos criminosos globalmente. ## Visão Geral **Cobalt Strike** é o framework de Command & Control (C2) mais prevalente no mundo - tanto em contextos legítimos (red team corporativo) quanto maliciosos (APTs e ransomware). Desenvolvido por Raphael Mudge e adquirido pela Fortra (HelpSystems), o produto oferece simulação realística de ameaças avançadas para equipes de segurança. O componente principal é o **Beacon** - um implante altamente configurável que suporta comunicação via HTTP/HTTPS, DNS, SMB Named Pipes e TCP, com suporte a **Malleable C2 Profiles** que permitem imitar tráfego de qualquer aplicativo legítimo. A sofisticação do Cobalt Strike, combinada com o vazamento massivo de versões crackeadas em 2020, fez com que o Beacon se tornasse o implante mais detectado em incidentes globais - sendo encontrado em 66% de todos os ataques de ransomware segundo a CrowdStrike. O [[g1045-salt-typhoon|Salt Typhoon]] (China, espionagem telecom), [[g0016-apt29|APT29]] (Rússia, espionagem governamental) e grupos de ransomware como [[g0102-conti-group|Wizard Spider]] (Conti/Ryuk) são usuários documentados do Cobalt Strike. **Plataformas:** Windows, Linux, macOS ## Arquitetura O Cobalt Strike implementa uma arquitetura Team Server e Beacon: - **Team Server:** Servidor C2 centralizado com console de operador - **Beacon:** Implante configurável - versões HTTP, HTTPS, DNS e SMB - **Malleable C2 Profiles:** Definem como o Beacon se comúnica (imitam tráfego legítimo) - **Aggressor Scripts:** Automação de pós-exploração customizável - **BOF (Beacon Object Files):** Extensões de capacidade via código injetado em memória ## Uso Ofensivo ```mermaid graph TB A["🎯 Acesso inicial<br/>phishing ou exploração"] --> B["🚀 Stager mínimo<br/>shellcode HTTPS download"] B --> C["📥 Beacon Stage 2<br/>carregado em memória"] C --> D["💉 Injeção em processo<br/>svchost ou explorer legítimo"] D --> E["📡 Callback C2<br/>Malleable HTTP profile"] E --> F["🔑 Mimikatz via BOF<br/>credential harvesting"] F --> G["🌐 Lateral Movement<br/>SMB Beacon - spread"] G --> H["💰 Objetivo final<br/>ransomware ou exfiltração"] ``` **Evasão via Malleable C2 Profile - imitando Microsoft Teams:** ```mermaid graph TB A["📡 Beacon HTTP request<br/>parece Microsoft Teams"] --> B["🔍 Firewall inspeciona<br/>User-Agent: MS Teams"] B --> C["✅ Tráfego permitido<br/>parece legítimo"] C --> D["☁️ Team Server C2<br/>recebe callback"] D --> E["📤 Comandos enviados<br/>disfarçados como resposta Teams"] ``` ## Timeline | Ano | Evento | |-----|--------| | 2012 | Raphael Mudge lança Cobalt Strike como ferramenta comercial de red team | | 2020 | Leak massivo de versões crackeadas - adoção explosiva por grupos criminosos | | 2021 | Cobalt Strike em 66% de todos os incidentes de ransomware (CrowdStrike) | | 2022 | [[g0016-apt29\|APT29]] e [[g0032-lazarus-group\|Lazarus Group]] documentados usando Beacon em campanhas APT | | 2023 | Fortra + Microsoft + EUROPOL coordenam takedown de servidores C2 ilegítimos | | 2024 | [[g1045-salt-typhoon\|Salt Typhoon]] usa Cobalt Strike em espionagem telecom global | ## TTPs | ID | Nome | Uso pelo Cobalt Strike | |----|------|----------------------| | [[t1055-process-injection\|T1055]] | Process Injection | Beacon injetado em processos legítimos via shellcode | | [[t1071-001-web-protocols\|T1071.001]] | Web Protocols | C2 via HTTP/HTTPS com Malleable C2 Profiles | | [[t1059-001-powershell\|T1059.001]] | PowerShell | Execução de scripts via Beacon | | [[t1021-002-smb-windows-admin-shares\|T1021.002]] | SMB Admin Shares | Movimento lateral via SMB Beacon | | [[t1027-obfuscated-files-or-information\|T1027]] | Obfuscated Files | Beacon empacotado e ofuscado para evasão | ## Atores que Utilizam - [[g0016-apt29|APT29]] - espionagem governamental com Beacon HTTPS customizado - [[g0096-apt41|APT41]] - espionagem e crime financeiro - [[g0032-lazarus-group|Lazarus Group]] - roubo financeiro e espionagem - [[g1045-salt-typhoon|Salt Typhoon]] - espionagem de telecomúnicações global - [[g0102-conti-group|Wizard Spider]] - operações Conti/Ryuk ransomware - [[g1015-scattered-spider|Scattered Spider]] - vishing e ransomware ## Relevância LATAM/Brasil O Cobalt Strike é a ferramenta mais frequentemente encontrada em incidentes de ransomware no Brasil. Grupos com vítimas brasileiras confirmadas - Conti, LockBit, BlackCat - utilizam o Beacon como plataforma central de pós-exploração. Para SOCs brasileiros, detectar um Beacon ativo representa janela crítica: a fase de ransomware tipicamente ocorre 2-21 dias após o primeiro callback. ## Detecção **Indicadores de comprometimento:** - Processo legítimo com thread suspeita contendo PE injetado (sem arquivo em disco) - Beaconing HTTP/HTTPS periódico de processos de sistema para IPs externos - Named Pipes com padrões: `MSSE-{guid}`, `msagent_{hex}`, `postex_{hex}` **Fontes de dados:** - **Sysmon Event ID 8 (CreateRemoteThread):** Thread remota em processos legítimos - **Sysmon Event ID 17/18 (PipeEvent):** Named pipes com padrões do Cobalt Strike - **Sysmon Event ID 3 (NetworkConnect):** Beaconing de processos não-navegador **Regras de detecção:** - Sigma: `proc_creation_win_cobaltstrike_spawn.yml` (SigmaHQ) - Sigma: `pipe_created_cobaltstrike_named_pipe.yml` - Microsoft MDE: `CobaltStrike_Beacon_Staging` (regra nativa) ## Referências - [1](https://attack.mitre.org/software/S0154) MITRE ATT&CK - S0154 Cobalt Strike (2024) - [2](https://www.cobaltstrike.com/) Cobalt Strike - produto oficial Fortra - [3](https://thedfirreport.com/2021/08/29/cobalt-strike-a-defenders-guide/) The DFIR Report - Cobalt Strike Defender's Guide (2021) - [4](https://www.crowdstrike.com/blog/getting-the-bacon-from-cobalt-strike-beacon/) CrowdStrike - Cobalt Strike Beacon Analysis (2021)