Core Impact y Cobalt Strike son dos potentes herramientas de evaluación de la Seguridad en el ámbito empresarial. Aunque comparten el mismo objetivo de proporcionar información para mejorar la ciberseguridad, se trata de soluciones diferentes, cada una con sus propias características.
Core Impact es una herramienta de pentesting que se utiliza, sobre todo, con exploits y movimientos laterales en diferentes entornos. Cobalt Strike, por su parte, es un software de emulación de amenazas que se usa, principalmente, para simular escenarios postexplotación y para apoyar las operaciones de red teaming (equipo rojo).
Si bien ambos productos tienen diferencias, los dos se utilizan para evaluar la Ciberseguridad, por lo que resulta comprensible que compartan ciertas funcionalidades. Sin embargo, éstas tienen sus propias funciones en cada herramienta.
Este documento le proporcionará información general sobre las funcionalidades más importantes de cada una de estas herramientas, sus similitudes y cómo se pueden combinar para mejorar las pruebas de penetración.
Core Impact
Explotación de múltiples vectores:
Core Impact es una herramienta de pentesting fácil de utilizar que explota las vulnerabilidades de redes, personas, aplicaciones web, endpoints, redes wifi y entornos SCADA. Permite mejorar el alcance y la productividad de las pruebas de penetración y automatiza las tareas de explotación, que suelen ser repetitivas y llevar mucho tiempo.
Exploits certificados por Core:
Los expertos de Core Security desarrollan y prueban cada aspecto de los exploits, lo cual les permite actualizar Core Impact con nuevos casos para diferentes plataformas, Sistemas Operativos y aplicaciones. Para poder contar con la biblioteca de exploits más completa y fiable del mercado, también se incluyen a modo de complemento los paquetes de exploits especializados de la empresa de Ciberseguridad ExCraft. Y los usuarios incluso puede importar los suyos propios.
Cifrado potente:
Core Impact utiliza una robusta criptografía para cifrar por completo las claves que protegen las comunicaciones de mando y control entre agentes y/o entornos de trabajo.
Agentes con finalización automática y marca de agua:
Cada edición de Core Impact es única e incluye una marca de agua que permite identificar cada distribución y a todos los agentes desplegados desde ella. Esta marca de agua constituye una confirmación forense de que se trata de agentes de prueba legítimos, no maliciosos. Además, todos los agentes desplegados desde Core Impact se encuentran configurados con una finalización automática, que garantiza que no quedará ninguna posible puerta trasera.
Validación de la corrección:
Core Impact guarda las pruebas anteriores, las cuales se pueden volver a ejecutar de nuevo para validar que las correcciones —por ejemplo, los nuevos controles de compensación— resultan eficaces.
Integraciones:
Los usuarios de Core Impact pueden importar datos de escaneos de terceros y validar automáticamente las vulnerabilidades detectadas en ellos, para proporcionar una lista ordenada de posibles objetivos a testear. Las integraciones con otras herramientas de pruebas de penetración, como Metasploit, PowerShell Empire o Plextrac, permiten centralizar todavía más los entornos de prueba.
Cobalt Strike
Simulación de adversario:
El generador de perfiles del sistema de Cobalt Strike mapea la interfaz del cliente que utiliza el objetivo y elabora una lista con las aplicaciones y complementos que descubre a través del navegador del usuario y con las direcciones IP internas de los usuarios que se encuentran detrás de un servidor proxy.
Postexplotación:
Beacon es el payload postexplotación de Cobalt Strike que permite diseñar un atacante avanzado. Beacon ejecuta scripts de PowerShell, registra pulsaciones de teclas, realiza capturas de pantalla, descarga archivos y genera otros payloads.
Comunicación encubierta:
Los indicadores de red de Beacon son maleables y utilizan un patrón de comunicación asíncrono «bajo y lento». Carga un perfil C2 para parecer otro adversario. Utiliza HTTP, HTTPS y DNS para salir de una red y resistir el bloqueo. Y utiliza canalizaciones con nombre para controlar a Beacon mediante peer-to-peer a través de un protocolo SMB.
Paquetes de ataque:
Utilice Cobalt Strike para alojar un ataque web drive-by utilizando applets de Java o clones de sitios web. Convierta un inocente archivo en un caballo de Troya utilizando macros de Microsoft Office o ejecutables de Windows.
Browser Pivoting:
Utiliza un browser pivot para evitar la autenticación de dos factores y acceder a los sitios objetivo. Este ataque man-in-the-browser secuestrará las sesiones web autenticadas de un usuario en peligro mediante un servidor proxy que se inyecta en Internet Explorer de 32 y 64 bits. Utiliza el servidor proxy para heredar cookies, sesiones HTTP autenticadas y certificados SSL del cliente.
Similitudes entre Core Impact y Cobalt Strike
Simulaciones de campañas de suplantación de identidad:
Core Impact guía a los usuarios a través de pruebas automatizadas de ingeniería social, evalúa la Seguridad del objetivo, recopila credenciales y permite más actividades de explotación si se abre un correo electrónico.
Cobalt Strike permite importar un correo electrónico existente o escribir uno para crear una plantilla de suplantación de identidad. A continuación, eliminará los archivos adjuntos, resolverá los problemas de codificación y reescribirá cada plantilla para cada ataque de suplantación de identidad. Es entonces cuando Cobalt Strike envía el correo electrónico y rastrea a quien hace click.
Colaboración en tiempo real:
Core Impact permite a varios security testers interactuar en la misma sesión, de modo que los equipos pueden compartir datos y delegar sus tareas de forma segura. Estos entornos de trabajo compartidos ofrecen una vista común de los objetivos de red descubiertos y en peligro, lo cual permite mejorar la colaboración.
Los usuarios de Cobalt Strike pueden conectarse a un servidor del equipo para compartir datos, comunicarse en tiempo real y controlar los sistemas en peligro durante la simulación de adersario.
Reportes exhaustivos:
Core Impact rastrea y registra todas las acciones llevadas a cabo durante una sesión de prueba, incluidas las realizadas en hosts remotos. Los usuarios pueden usar las sencillas e intuitivas plantillas de reportes para introducir automáticamente los correspondientes datos de los registros.
Cobalt Strike registra toda su actividad en el servidor del equipo. Después se pueden generar reportes con una escala de tiempo y una lista de indicadores de peligro determinados a partir de la actividad del equipo rojo.
Interoperabilidad
Cuando se cuenta con ambas herramientas, es posible utilizar las funciones de session passing y de tunelización de Core Impact y Cobalt Strike. Esta interoperabilidad permite simplificar aún más el pentesting. Por ejemplo, los usuarios pueden iniciar su ejercicio de Seguridad obteniendo un primer acceso desde Core Impact. Y a partir de ahí, pueden continuar con las actividades postexplotación generando un Beacon de Cobalt Strike.
Combine Core Impact y Cobalt Strike en su organización
Conozca más a fondo los beneficios de combinar Core Impact y Cobalt Strike para mejorar el programa de Seguridad de su organizacion y estar un paso por delante de los hackers.